Կիբեռնետիկայի հիմնադիր Նորբերտ Վիները կարծում էր, որ տեղեկատվությունն ունի յուրահատուկ հատկանիշներ և չի կարող վերագրվել ոչ էներգիայի, ոչ նյութի: Տեղեկատվության՝ որպես երեւույթի հատուկ կարգավիճակը բազմաթիվ սահմանումներ է տվել։

ISO / IEC 2382: 2015 «Տեղեկատվական տեխնոլոգիա» ստանդարտի բառարանում տրված է հետևյալ մեկնաբանությունը.

Տեղեկատվություն (տեղեկատվության մշակման ոլորտում)- էլեկտրոնային ձևով ներկայացված ցանկացած տվյալ, որը գրված է թղթի վրա, արտահայտված ժողովում կամ որևէ այլ ձևով, որն օգտագործվում է ֆինանսական հաստատության կողմից որոշումներ կայացնելու, դրամական միջոցներ տեղափոխելու, դրույքաչափեր սահմանելու, վարկեր տրամադրելու, գործարքների մշակման և այլնի համար, ներառյալ բաղադրիչները: ծրագրային ապահովումվերամշակման համակարգեր.

Տեղեկատվական անվտանգության (IS) հայեցակարգը զարգացնելու համար տեղեկատվությունը հասկացվում է որպես տեղեկատվություն, որը հասանելի է հավաքման, պահպանման, մշակման (խմբագրման, վերափոխման), օգտագործման և փոխանցման համար տարբեր ձևերով, ներառյալ համակարգչային ցանցերում և այլ տեղեկատվական համակարգերում:

Նման տեղեկատվությունն ունի բարձր արժեք և կարող է դառնալ երրորդ անձանց կողմից ոտնձգության առարկա: Տեղեկատվությունը սպառնալիքներից պաշտպանելու ցանկությունն է ընկած տեղեկատվական անվտանգության համակարգերի ստեղծման հիմքում:

Իրավական հիմք

2017 թվականի դեկտեմբերին Ռուսաստանը ընդունեց տեղեկատվական անվտանգության դոկտրինը։ Փաստաթղթում IB-ը սահմանվում է որպես ազգային շահերի պաշտպանության վիճակ տեղեկատվական ոլորտ... Այս դեպքում ազգային շահերը հասկացվում են որպես հասարակության, անհատի և պետության շահերի ամբողջություն, շահերի յուրաքանչյուր խումբ անհրաժեշտ է հասարակության կայուն գործունեության համար։

Դոկտրինը հայեցակարգային փաստաթուղթ է: Տեղեկատվական անվտանգության ապահովման հետ կապված իրավական հարաբերությունները կարգավորվում են «Պետական ​​գաղտնիքի մասին», «Տեղեկատվության մասին», «Անձնական տվյալների պաշտպանության մասին» և այլ դաշնային օրենքներով: Հիմնարար նորմատիվ ակտերի հիման վրա մշակվում են կառավարության որոշումներ և գերատեսչական նորմատիվ ակտեր տեղեկատվության պաշտպանության մասնավոր հարցերի վերաբերյալ:

Տեղեկատվական անվտանգության սահմանում

Տեղեկատվական անվտանգության ռազմավարություն մշակելուց առաջ անհրաժեշտ է ընդունել բուն հայեցակարգի հիմնական սահմանումը, որը թույլ կտա կիրառել պաշտպանության որոշակի մեթոդներ և մեթոդներ:

Ոլորտի մասնագետներն առաջարկում են տեղեկատվական անվտանգությունը հասկանալ որպես տեղեկատվության, դրա կրողների և ենթակառուցվածքների անվտանգության կայուն վիճակ, որն ապահովում է տեղեկատվական գործընթացների ամբողջականությունն ու կայունությունը բնական և արհեստական ​​բնույթի միտումնավոր կամ ոչ միտումնավոր ազդեցություններից: Ազդեցությունները դասակարգվում են որպես ԻՊ սպառնալիքներ, որոնք կարող են վնասել տեղեկատվական հարաբերությունների սուբյեկտներին:

Այսպիսով, տեղեկատվության պաշտպանությունը կնշանակի իրավական, վարչական, կազմակերպչական և տեխնիկական միջոցառումների համալիր՝ ուղղված տեղեկատվական անվտանգության իրական կամ ընկալվող սպառնալիքների կանխմանը, ինչպես նաև միջադեպերի հետևանքների վերացմանը: Տեղեկատվության պաշտպանության գործընթացի շարունակականությունը պետք է երաշխավորի սպառնալիքների դեմ պայքարը տեղեկատվական ցիկլի բոլոր փուլերում՝ տեղեկատվության հավաքման, պահպանման, մշակման, օգտագործման և փոխանցման գործընթացում:

Տեղեկատվական անվտանգությունԱյս ըմբռնմամբ այն դառնում է համակարգի կատարողականի բնութագրիչներից մեկը: Ժամանակի յուրաքանչյուր պահի համակարգը պետք է ունենա չափելի անվտանգության մակարդակ, և համակարգի անվտանգության ապահովումը պետք է լինի շարունակական գործընթաց, որն իրականացվում է համակարգի գործունեության ընթացքում բոլոր ժամանակային ընդմիջումներով:

Ինֆոգրաֆիկան օգտագործում է մեր սեփական տվյալներըSearchInform.

Տեղեկատվական անվտանգության տեսության մեջ տեղեկատվական անվտանգության սուբյեկտները հասկացվում են որպես տեղեկատվության սեփականատերեր և օգտագործողներ, և ոչ միայն մշտական ​​հիմունքներով օգտագործողներ (աշխատակիցներ), այլ նաև օգտագործողներ, ովքեր մուտք են գործում տվյալների բազա առանձին դեպքերում, օրինակ՝ պետական ​​կառույցները, ովքեր տեղեկատվություն են պահանջում: Մի շարք դեպքերում, օրինակ, բանկային տեղեկատվական անվտանգության ստանդարտներում բաժնետերերը դասվում են որպես տեղեկատվության սեփականատեր. իրավաբանական անձինքորին պատկանում են որոշակի տվյալներ։

Աջակցող ենթակառուցվածքը, տեղեկատվական անվտանգության հիմունքների տեսանկյունից, ներառում է համակարգիչներ, ցանցեր, հեռահաղորդակցության սարքավորումներ, տարածքներ, կենսապահովման համակարգեր և անձնակազմ: Անվտանգությունը վերլուծելիս անհրաժեշտ է ուսումնասիրել համակարգերի բոլոր տարրերը՝ հատուկ ուշադրություն դարձնելով անձնակազմին՝ որպես ներքին սպառնալիքների մեծ մասի կրողին:

Տեղեկատվական անվտանգության կառավարման և վնասի գնահատման համար օգտագործվում է ընդունելիության բնութագիրը, ուստի վնասը որոշվում է որպես ընդունելի կամ անընդունելի: Յուրաքանչյուր ընկերության համար օգտակար է սահմանել վնասի թույլատրելիության սեփական չափանիշները դրամական տեսքով կամ, օրինակ, հեղինակությանը ընդունելի վնաս պատճառելու տեսքով: Հանրային հաստատություններում կարող են ընդունվել այլ բնութագրեր, օրինակ՝ ազդեցությունը կառավարման գործընթացի վրա կամ քաղաքացիների կյանքին և առողջությանը հասցված վնասի աստիճանի արտացոլումը։ Ընթացքում կարող են փոխվել տեղեկատվության էականության, կարևորության և արժեքի չափանիշները կյանքի ցիկլՀետևաբար, տեղեկատվական զանգվածը պետք է ժամանակին վերանայվի:

Նեղ իմաստով տեղեկատվական սպառնալիքը պաշտպանության օբյեկտի վրա ազդելու օբյեկտիվ հնարավորություն է, որը կարող է հանգեցնել տեղեկատվության արտահոսքի, գողության, բացահայտման կամ տարածման: Ավելի լայն իմաստով տեղեկատվական անվտանգության սպառնալիքները կներառեն ուղղորդված տեղեկատվական ազդեցություններ, որոնց նպատակն է վնասել պետությանը, կազմակերպությանը և անհատին: Նման սպառնալիքները ներառում են, օրինակ, զրպարտությունը, կանխամտածված խեղաթյուրումը և ոչ պատշաճ գովազդը:

Ցանկացած կազմակերպության համար տեղեկատվական անվտանգության հայեցակարգի երեք հիմնական հարց

Ինչ պաշտպանել.

Ի՞նչ տեսակի սպառնալիքներ են գերակշռում` արտաքին, թե ներքին:

Ինչպե՞ս պաշտպանել, ի՞նչ մեթոդներով և միջոցներով։

IS համակարգ

Ընկերության՝ իրավաբանական անձի տեղեկատվական անվտանգության համակարգը ներառում է հիմնական հասկացությունների երեք խումբ՝ ամբողջականություն, մատչելիություն և գաղտնիություն: Յուրաքանչյուրի տակ կան բազմաթիվ հատկանիշներով հասկացություններ:

Տակ ամբողջականություննշանակում է տվյալների բազաների, այլ տեղեկատվական զանգվածների դիմադրություն պատահական կամ դիտավորյալ ոչնչացմանը, չարտոնված փոփոխություններին: Անարատությունը կարելի է դիտել որպես.

• ստատիկարտահայտված տեղեկատվական օբյեկտների անփոփոխության, իսկության մեջ այն օբյեկտների նկատմամբ, որոնք ստեղծվել են որոշակի տեխնիկական առաջադրանքի համաձայն և պարունակում են օգտագործողների կողմից պահանջվող տեղեկատվության քանակությունը իրենց հիմնական գործունեության համար, պահանջվող կազմաձևով և հաջորդականությամբ.
• դինամիկ, որը ենթադրում է բարդ գործողությունների կամ գործարքների ճիշտ կատարում՝ չվնասելով տեղեկատվության անվտանգությանը։

Դինամիկ ամբողջականությունը վերահսկելու համար օգտագործվում են հատուկ տեխնիկական միջոցներ, որոնք վերլուծում են տեղեկատվության հոսքը, օրինակ՝ ֆինանսականը և բացահայտում հաղորդագրությունների գողության, կրկնօրինակման, վերահղման և վերադասավորման դեպքերը: Անարատությունը որպես հիմնական հատկանիշ պահանջվում է, երբ որոշումներ են կայացվում մուտքային կամ հասանելի տեղեկատվության հիման վրա՝ գործողություններ ձեռնարկելու համար: Հրամանների կարգի կամ գործողությունների հաջորդականության խախտումը կարող է մեծ վնաս պատճառել տեխնոլոգիական գործընթացների, ծրագրային ծածկագրերի նկարագրման և նմանատիպ այլ իրավիճակներում։

Հասանելիությունսեփականություն է, որը թույլ է տալիս լիազորված սուբյեկտներին մուտք գործել կամ փոխանակել իրենց հետաքրքրող տվյալներ: Սուբյեկտների լեգիտիմացման կամ լիազորման հիմնական պահանջը հնարավորություն է տալիս ստեղծել տարբեր մակարդակներումմուտք. Համակարգի կողմից տեղեկատվություն տրամադրելուց հրաժարվելը խնդիր է դառնում ցանկացած կազմակերպության կամ օգտագործողների խմբի համար։ Օրինակ՝ համակարգի խափանման դեպքում հանրային ծառայությունների կայքերի անհասանելի լինելը, ինչը շատ օգտատերերի զրկում է անհրաժեշտ ծառայություններ կամ տեղեկատվություն ստանալու հնարավորությունից:

Գաղտնիություննշանակում է տեղեկատվության հատկություն, որը հասանելի է այդ օգտատերերին՝ առարկաներ և գործընթացներ, որոնց սկզբում թույլատրվում է մուտք գործել: Ընկերությունների և կազմակերպությունների մեծ մասը գաղտնիությունն ընկալում է որպես տեղեկատվական անվտանգության հիմնական տարր, սակայն գործնականում դժվար է այն ամբողջությամբ իրականացնել: Տեղեկատվության արտահոսքի առկա ուղիների վերաբերյալ ոչ բոլոր տվյալները հասանելի են տեղեկատվական անվտանգության հայեցակարգերի հեղինակներին, և պաշտպանության շատ տեխնիկական միջոցներ, այդ թվում՝ ծածկագրային, չեն կարող ազատորեն ձեռք բերել, որոշ դեպքերում շրջանառությունը սահմանափակ է:

Տեղեկատվական անվտանգության հավասար հատկությունները տարբեր արժեքներ ունեն օգտագործողների համար, հետևաբար երկու ծայրահեղ կատեգորիաները տվյալների պաշտպանության հայեցակարգերի մշակման մեջ: Պետական ​​գաղտնիքի հետ առնչվող ընկերությունների կամ կազմակերպությունների համար գաղտնիությունը կդառնա առանցքային պարամետր, հանրային ծառայությունների կամ ուսումնական հաստատությունների համար ամենակարևոր պարամետրը հասանելիությունն է։

Տեղեկատվական անվտանգության ամփոփագիր

Պաշտպանված օբյեկտներ տեղեկատվական անվտանգության հայեցակարգերում

Սուբյեկտների տարբերությունը առաջացնում է պաշտպանության օբյեկտների տարբերություններ: Պաշտպանված օբյեկտների հիմնական խմբերը.

• բոլոր տեսակի տեղեկատվական ռեսուրսներ (ռեսուրս նշանակում է նյութական օբյեկտ. HDD, մեկ այլ միջոց, փաստաթուղթ, որն ունի տվյալներ և մանրամասներ, որոնք օգնում են բացահայտել այն և հղում կատարել դրան որոշակի խումբառարկաներ);
• քաղաքացիների, կազմակերպությունների և պետության՝ տեղեկատվություն ստանալու իրավունքը, այն օրենքի շրջանակներում ստանալու հնարավորությունը. մուտքը կարող է սահմանափակվել միայն կարգավորող իրավական ակտերով, մարդու իրավունքները ոտնահարող ցանկացած խոչընդոտների կազմակերպումն անթույլատրելի է.
• տվյալների ստեղծման, օգտագործման և բաշխման համակարգ (համակարգեր և տեխնոլոգիաներ, արխիվներ, գրադարաններ, կարգավորող փաստաթղթեր).
• հանրային գիտակցության ձևավորման համակարգը (մեդիա, ինտերնետային ռեսուրսներ, սոցիալական հաստատություններ, կրթական հաստատություններ):

Յուրաքանչյուր օբյեկտ ենթադրում է տեղեկատվական անվտանգության և հասարակական կարգի սպառնալիքներից պաշտպանվելու միջոցառումների հատուկ համակարգ: Տեղեկատվական անվտանգության ապահովումը յուրաքանչյուր դեպքում պետք է հիմնված լինի համակարգված մոտեցման վրա, որը հաշվի է առնում օբյեկտի առանձնահատկությունները:

Կատեգորիաներ և պահեստավորման միջոցներ

Ռուսաստանի իրավական համակարգը, իրավապահ պրակտիկան և հաստատված սոցիալական հարաբերությունները տեղեկատվությունը դասակարգում են ըստ մատչելիության չափանիշների: Սա թույլ է տալիս պարզաբանել տեղեկատվական անվտանգությունն ապահովելու համար անհրաժեշտ էական պարամետրերը.

• տեղեկատվություն, որի հասանելիությունը սահմանափակվում է իրավական պահանջների հիման վրա (պետական ​​գաղտնիք, առևտրային գաղտնիք, անձնական տվյալներ).
• տեղեկատվություն մեջ բաց մուտք;
• հանրությանը հասանելի տեղեկատվություն, որը տրամադրվում է որոշակի պայմաններով. վճարովի տեղեկատվություն կամ տվյալներ, որոնց համար անհրաժեշտ է ընդունելության տրամադրում, օրինակ՝ գրադարանի քարտ.
• վտանգավոր, վնասակար, կեղծ և այլ տեսակի տեղեկություններ, որոնց շրջանառությունն ու տարածումը սահմանափակված է կամ օրենքների կամ կորպորատիվ ստանդարտների պահանջներով:

Առաջին խմբի տեղեկատվությունը ունի պաշտպանության երկու եղանակ. Պետական ​​գաղտնիք, ըստ օրենքի՝ սա պետության կողմից պաշտպանված տեղեկատվություն է, որի անվճար տարածումը կարող է վնասել երկրի անվտանգությանը։ Սրանք տվյալներ են պետության ռազմական, արտաքին քաղաքականության, հետախուզության, հակահետախուզության և տնտեսական գործունեության ոլորտներում։ Տվյալների այս խմբի սեփականատերն ինքը պետությունն է: Պետական ​​գաղտնիքները պաշտպանելու համար միջոցներ ձեռնարկելու լիազորված մարմիններն են Պաշտպանության նախարարությունը, Անվտանգության դաշնային ծառայությունը (ԱԴԾ), Արտաքին հետախուզության ծառայությունը և Տեխնիկական և արտահանման վերահսկողության դաշնային ծառայությունը (FSTEC):

Գաղտնի տեղեկատվություն- կարգավորման ավելի բազմակողմանի օբյեկտ. Տեղեկությունների ցանկը, որոնք կարող են լինել գաղտնի տեղեկատվություն, զետեղված է «Գաղտնի տեղեկատվության ցանկը հաստատելու մասին» Նախագահի թիվ 188 հրամանագրում։ Սա անձնական տվյալներ է; հետաքննության և դատավարության գաղտնիությունը. պաշտոնական գաղտնիք; մասնագիտական ​​գաղտնիք (բժշկական, նոտարական, փաստաբանական); առեւտրային գաղտնիք; տեղեկատվություն գյուտերի և օգտակար մոդելների մասին. դատապարտյալների անձնական գործերում պարունակվող տեղեկությունները, ինչպես նաև դատական ​​ակտերի հարկադիր կատարման մասին տեղեկությունները։

Անձնական տվյալները գոյություն ունեն բաց և գաղտնի ռեժիմով: Անձնական տվյալների մի մասը, որը բաց և հասանելի է բոլոր օգտագործողների համար, ներառում է անուն, ազգանուն, հայրանուն: Համաձայն FZ-152 «Անձնական տվյալների մասին»՝ անձնական տվյալների սուբյեկտներն իրավունք ունեն.

• տեղեկատվական ինքնորոշում;
• մուտք գործել անձնական անձնական տվյալներ և փոփոխություններ կատարել դրանցում.
• արգելափակել անձնական տվյալները և մուտք գործել դրանց.
• բողոքարկել երրորդ անձանց ապօրինի գործողությունները, որոնք կատարվել են անձնական տվյալների հետ կապված.
• պատճառված վնասը հատուցելու համար։

Դրա իրավունքը ամրագրված է պետական ​​մարմինների կանոնակարգերում, դաշնային օրենքներում, անձնական տվյալների հետ աշխատելու լիցենզիաներում, որոնք տրված են Roskomnadzor-ի կամ FSTEC-ի կողմից: Ընկերությունները, որոնք մասնագիտորեն աշխատում են մարդկանց լայն շրջանակի անձնական տվյալների հետ, օրինակ՝ հեռահաղորդակցության օպերատորները, պետք է մուտքագրեն գրանցամատյան, որը վարում է Ռոսկոմնադզորը։

Տեղեկատվական անվտանգության տեսության և պրակտիկայում առանձին օբյեկտ են հանդիսանում տեղեկատվության կրիչները, որոնց մուտքը բաց և փակ է: Տեղեկատվական անվտանգության հայեցակարգ մշակելիս պաշտպանության մեթոդներն ընտրվում են՝ կախված կրիչի տեսակից: Հիմնական պահեստային կրիչ.

• տպագիր և էլեկտրոնային լրատվամիջոցներ, սոցիալական ցանցերը, այլ ռեսուրսներ ինտերնետում;
• կազմակերպության աշխատակիցները, ովքեր տեղեկատվությանը հասանելի են իրենց ընկերական, ընտանեկան, մասնագիտական ​​կապերի հիման վրա.
• կապի միջոցներ, որոնք փոխանցում կամ պահպանում են տեղեկատվություն. հեռախոսներ, ավտոմատ հեռախոսակայաններ, հեռահաղորդակցության այլ սարքավորումներ.
• բոլոր տեսակի փաստաթղթեր՝ անձնական, պաշտոնական, պետական;
• ծրագրակազմը որպես անկախ տեղեկատվական օբյեկտ, հատկապես, եթե դրա տարբերակը փոփոխվել է հատուկ որոշակի ընկերության համար.
• էլեկտրոնային կրիչներ, որոնք ավտոմատ կերպով մշակում են տվյալները:

Տեղեկատվական անվտանգության հայեցակարգերի մշակման նպատակով տեղեկատվական անվտանգության միջոցները սովորաբար բաժանվում են նորմատիվ (ոչ ֆորմալ) և տեխնիկական (ֆորմալ):

Պաշտպանության ոչ ֆորմալ միջոցներն են փաստաթղթերը, կանոնները, իրադարձությունները, պաշտոնական միջոցները հատուկ տեխնիկական միջոցներ և ծրագրեր են: Սահմանազատումը օգնում է բաշխել պատասխանատվության ոլորտները տեղեկատվական անվտանգության համակարգերի ստեղծման ժամանակ. պաշտպանության ընդհանուր կառավարմամբ վարչական անձնակազմը իրականացնում է նորմատիվ մեթոդներ և ՏՏ մասնագետները, համապատասխանաբար, տեխնիկական:

Տեղեկատվական անվտանգության հիմունքները ենթադրում են լիազորությունների սահմանազատում ոչ միայն տեղեկատվության օգտագործման, այլև դրա պաշտպանության հետ աշխատելու առումով։ Լիազորությունների այս սահմանազատումը պահանջում է նաև վերահսկողության մի քանի մակարդակ։

Պաշտոնական միջոցներ

Տեղեկատվական անվտանգության տեխնիկական միջոցների լայն շրջանակը ներառում է.

Ֆիզիկական պաշտպանիչ սարքավորումներ.Սրանք մեխանիկական, էլեկտրական, էլեկտրոնային մեխանիզմներ են, որոնք գործում են տեղեկատվական համակարգերից անկախ և խոչընդոտներ են ստեղծում դրանց մուտքի համար: Կողպեքները, ներառյալ էլեկտրոնայինները, էկրանները, շերտավարագույրները նախատեսված են համակարգերի հետ ապակայունացնող գործոնների շփման համար խոչընդոտներ ստեղծելու համար: Խումբը համալրվում է անվտանգության համակարգերով, օրինակ՝ տեսախցիկներով, տեսաձայնագրիչներով, սենսորներով, որոնք հայտնաբերում են տեղաշարժը կամ էլեկտրամագնիսական ճառագայթման աստիճանի գերազանցումը տեղեկատվության որոնման տեխնիկական միջոցների, ներկառուցված սարքերի տեղակայման տարածքում:

Սարքավորումների պաշտպանություն.Սրանք էլեկտրական, էլեկտրոնային, օպտիկական, լազերային և այլ սարքեր են, որոնք ներդրված են տեղեկատվական և հեռահաղորդակցության համակարգերում: Տեղեկատվական համակարգեր ապարատային սարքավորումների ներդրումից առաջ անհրաժեշտ է ապահովել համատեղելիությունը:

Ծրագրային ապահովումպարզ և համակարգային, բարդ ծրագրեր են, որոնք նախատեսված են տեղեկատվական անվտանգության հետ կապված կոնկրետ և բարդ խնդիրների լուծման համար: Բարդ լուծումների օրինակներ են նաև. առաջինները ծառայում են արտահոսքի կանխմանը, տեղեկատվության ձևաչափմանը և տեղեկատվական հոսքերի վերահղմանը, երկրորդները ապահովում են պաշտպանություն տեղեկատվական անվտանգության ոլորտում միջադեպերից: Ծրագրային ապահովումը պահանջում է ապարատային սարքերի հզորությունը, և տեղադրման ընթացքում պետք է տրամադրվեն լրացուցիչ պահուստներ:

կարող է անվճար թեստավորվել 30 օր: Նախքան համակարգը տեղադրելը SearchInform ինժեներները տեխնիկական աուդիտ կանցկացնեն հաճախորդի ընկերությունում:

TO կոնկրետ միջոցներտեղեկատվական անվտանգությունը ներառում է տարբեր ծածկագրային ալգորիթմներ, որոնք գաղտնագրում են տեղեկատվությունը սկավառակի վրա և վերահղվում արտաքին կապի ուղիներով: Տեղեկատվության փոխակերպումը կարող է տեղի ունենալ կորպորատիվ տեղեկատվական համակարգերում գործող ծրագրային և ապարատային մեթոդների միջոցով:

Տեղեկատվության անվտանգությունը երաշխավորող բոլոր միջոցները պետք է օգտագործվեն համակցված՝ տեղեկատվության արժեքի նախնական գնահատումից և անվտանգության վրա ծախսվող ռեսուրսների արժեքի հետ համեմատելուց հետո։ Հետևաբար, միջոցների օգտագործման առաջարկները պետք է ձևակերպվեն արդեն համակարգերի մշակման փուլում, և հաստատումը պետք է կատարվի կառավարման այն մակարդակում, որը պատասխանատու է բյուջեների հաստատման համար:

Անվտանգությունն ապահովելու համար անհրաժեշտ է վերահսկել բոլոր ժամանակակից զարգացումները, ծրագրային և ապարատային պաշտպանության միջոցները, սպառնալիքները և անհապաղ փոփոխություններ կատարել չարտոնված մուտքից պաշտպանության սեփական համակարգերում: Սպառնալիքներին միայն ադեկվատությունն ու օպերատիվ արձագանքը կօգնի հասնել դրան բարձր մակարդակընկերության աշխատանքի գաղտնիությունը.

Առաջին թողարկումը թողարկվել է 2018 թվականին։ Այս եզակի ծրագիրը ստեղծում է աշխատակիցների հոգեբանական դիմանկարներ և նրանց հատկացնում ռիսկային խմբերին: Տեղեկատվական անվտանգության ապահովման այս մոտեցումը թույլ է տալիս կանխատեսել հնարավոր միջադեպերը և նախապես քայլեր ձեռնարկել:

Ոչ պաշտոնական միջոցներ

Ոչ պաշտոնական պաշտպանության միջոցները խմբավորվում են նորմատիվային, վարչական և բարոյական-էթիկական: Պաշտպանության առաջին մակարդակում գտնվում են կարգավորիչ միջոցները, որոնք կարգավորում են տեղեկատվական անվտանգությունը որպես կազմակերպության գործունեության գործընթաց:

• Կարգավորող միջոցներ

Համաշխարհային պրակտիկայում կարգավորող գործիքներ մշակելիս դրանք առաջնորդվում են IS պաշտպանության ստանդարտներով, որոնցից հիմնականը ISO/IEC 27000-ն է: Ստանդարտը ստեղծվել է երկու կազմակերպությունների կողմից.

• ISO - Ստանդարտացման միջազգային հանձնաժողով, որը մշակում և հաստատում է արտադրության և կառավարման գործընթացների որակի հավաստագրման միջազգայնորեն ճանաչված մեթոդաբանությունների մեծ մասը.
• IEC - Միջազգային էներգետիկ հանձնաժողով, որը ստանդարտի մեջ մտցրեց տեղեկատվական անվտանգության համակարգերի իր պատկերացումները, դրա ապահովման միջոցները և մեթոդները.

ISO / IEC 27000-2016-ի ներկայիս տարբերակը առաջարկում է պատրաստի ստանդարտներ և ապացուցված մեթոդներ, որոնք անհրաժեշտ են տեղեկատվական անվտանգության իրականացման համար: Մեթոդների հեղինակների կարծիքով՝ տեղեկատվական անվտանգության հիմքը կայանում է բոլոր փուլերի հետևողականության և հետևողական իրականացման մեջ՝ մշակումից մինչև հետհսկողություն։

Տեղեկատվական անվտանգության ստանդարտներին համապատասխանությունը հաստատող վկայագիր ստանալու համար անհրաժեշտ է ամբողջությամբ կիրառել բոլոր առաջարկվող տեխնիկան: Եթե ​​վկայական ստանալու անհրաժեշտություն չկա, ապա ավելին վաղ տարբերակներըստանդարտ, սկսած ISO / IEC 27000-2002-ից կամ ռուսական ԳՕՍՏ-ներից, որոնք ունեն հանձնարարական բնույթ:

Ստանդարտի ուսումնասիրության արդյունքների հիման վրա մշակվում է երկու փաստաթուղթ, որոնք վերաբերում են տեղեկատվական անվտանգությանը։ Հիմնական, բայց ոչ ֆորմալը ձեռնարկության տեղեկատվական անվտանգության հայեցակարգն է, որը սահմանում է կազմակերպության տեղեկատվական համակարգերի տեղեկատվական անվտանգության համակարգի ներդրման միջոցառումներն ու մեթոդները: Երկրորդ փաստաթուղթը, որին պետք է համապատասխանեն ընկերության բոլոր աշխատակիցները, տնօրենների խորհրդի կամ գործադիր մարմնի մակարդակով հաստատված տեղեկատվական անվտանգության կանոնակարգն է։

Ընկերության մակարդակով զբաղեցրած պաշտոնից բացի, պետք է մշակվեն առևտրային գաղտնիք կազմող տեղեկատվության ցուցակներ, աշխատանքային պայմանագրերի հավելվածներ, գաղտնի տվյալների բացահայտման պատասխանատվությունը, այլ ստանդարտներ և մեթոդներ: Ներքին կանոններն ու կանոնակարգերը պետք է պարունակեն իրականացման մեխանիզմներ և պատասխանատվության միջոցներ։ Ամենից հաճախ միջոցները կրում են կարգապահական բնույթ, և խախտողը պետք է պատրաստ լինի նրան, որ առևտրային գաղտնիքի ռեժիմի խախտմանը կհետևեն էական պատժամիջոցներ՝ ընդհուպ մինչև աշխատանքից ազատում։

• Կազմակերպչական և վարչական միջոցառումներ

-ի շրջանակներում վարչական գործունեությունԱնվտանգության անձնակազմի տեղեկատվական անվտանգությունը պաշտպանելու համար ստեղծագործական հնարավորություններ կան: Սրանք ճարտարապետական ​​և պլանավորման լուծումներ են, որոնք օգնում են պաշտպանել հանդիպումների սենյակները և կառավարման գրասենյակները գաղտնալսումից, ինչպես նաև ստեղծել տեղեկատվության հասանելիության տարբեր մակարդակներ: Կարևոր կազմակերպչական միջոցառումները կլինեն ISO/IEC 27000 ստանդարտներին համապատասխան ընկերության գործունեության սերտիֆիկացումը, առանձին ապարատային և ծրագրային համակարգերի հավաստագրումը, սուբյեկտների և օբյեկտների հավաստագրումը անվտանգության անհրաժեշտ պահանջներին համապատասխանելու համար, պաշտպանված տվյալների զանգվածների հետ աշխատելու համար անհրաժեշտ լիցենզիաների ձեռքբերումը:

Անձնակազմի գործունեությունը կարգավորելու տեսակետից կարևոր կլինի ձևավորել ինտերնետ, արտաքին էլ. փոստ և այլ ռեսուրսներ մուտք գործելու հարցումների համակարգ։ Առանձին տարր կլինի էլեկտրոնային թվային ստորագրության ստացումը ֆինանսական և այլ տեղեկատվության անվտանգությունը բարձրացնելու համար, որը փոխանցվում է պետական ​​մարմիններին էլեկտրոնային փոստով:

• Բարոյական և էթիկական միջոցառումներ

Բարոյական և էթիկական միջոցները որոշում են անձի անձնական վերաբերմունքը գաղտնի տեղեկատվությունկամ շրջանառության մեջ սահմանափակված տեղեկատվություն: Ընկերության գործունեության վրա սպառնալիքների ազդեցության վերաբերյալ աշխատակիցների գիտելիքների մակարդակի բարձրացումը ազդում է աշխատակիցների գիտակցության և պատասխանատվության աստիճանի վրա: Տեղեկատվական ռեժիմի խախտումների դեմ պայքարելու համար, ներառյալ, օրինակ, գաղտնաբառերի փոխանցումը, լրատվամիջոցների հետ անզգույշ վարվելը, մասնավոր զրույցներում գաղտնի տվյալների տարածումը, անհրաժեշտ է կենտրոնանալ աշխատողի անձնական բարեխղճության վրա: Օգտակար կլինի սահմանել կադրերի արդյունավետության ցուցանիշներ, որոնք կախված կլինեն վերաբերմունքից կորպորատիվ համակարգԻԲ.

Տեղեկատվական անվտանգության քաղաքականություն.

1. Ընդհանուր դրույթներ

Այս քաղաքականությունըտեղեկատվական անվտանգություն ( Հետագա - Քաղաքականություն սահմանում է տեղեկատվության անվտանգության ապահովման խնդրի վերաբերյալ տեսակետների համակարգը և նպատակների և խնդիրների, ինչպես նաև տեղեկատվական ենթակառուցվածքի օբյեկտների տեղեկատվության անվտանգության ապահովման կազմակերպչական, տեխնոլոգիական և ընթացակարգային ասպեկտների համակարգված հայտարարություն է, ներառյալ տեղեկատվության մի շարք. կենտրոններ, տվյալների բանկեր և կազմակերպության կապի համակարգեր: Սույն Քաղաքականությունը մշակվել է հաշվի առնելով Ռուսաստանի Դաշնության գործող օրենսդրության պահանջները և տեղեկատվական ենթակառուցվածքի օբյեկտների զարգացման մոտակա հեռանկարները, ինչպես նաև ժամանակակից կազմակերպչական և տեխնիկական մեթոդների և սարքավորումների և ծրագրային ապահովման բնութագրերն ու հնարավորությունները: տեղեկատվության պաշտպանություն.

Քաղաքականության հիմնական դրույթներն ու պահանջները վերաբերում են կազմակերպության բոլոր կառուցվածքային ստորաբաժանումներին:

Քաղաքականությունը մեթոդական հիմք է տեղեկատվական ենթակառուցվածքի օբյեկտների տեղեկատվության անվտանգության ապահովման, կառավարման համակարգված որոշումների կայացման և տեղեկատվական անվտանգության ապահովմանն ուղղված գործնական միջոցառումների մշակման, կառուցվածքային ստորաբաժանումների գործունեությունը համակարգելու ոլորտում միասնական քաղաքականության ձևավորման և իրականացման համար: կազմակերպությունը՝ տեղեկատվական անվտանգության պահանջներին համապատասխան տեղեկատվական օբյեկտների ստեղծման, մշակման և շահագործման ուղղությամբ աշխատանքներ իրականացնելիս.

Քաղաքականությունը չի կարգավորում տարածքների պահպանության կազմակերպման և տեղեկատվական ենթակառուցվածքի բաղադրիչների անվտանգության ու ֆիզիկական ամբողջականության ապահովման, բնական աղետներից և էներգամատակարարման համակարգի խափանումներից պաշտպանվելու հարցերը, սակայն ենթադրում է տեղեկատվական անվտանգության համակարգի կառուցում։ նույն կոնցեպտուալ հիմքերի վրա, ինչ ամբողջ կազմակերպության անվտանգության համակարգը:

Քաղաքականության իրականացումն ապահովվում է համապատասխան ուղեցույցներով, կանոնակարգերով, ընթացակարգերով, հրահանգներով, ուղեցույցներով և կազմակերպությունում տեղեկատվական անվտանգության գնահատման համակարգով:

Քաղաքականությունը օգտագործում է հետևյալ տերմիններն ու սահմանումները.

Ավտոմատացված համակարգ ( ԱՍ) — համակարգ, որը բաղկացած է անձնակազմից և նրանց գործունեության ավտոմատացման համար նախատեսված միջոցների համալիրից, որն իրականացնում է տեղեկատվական տեխնոլոգիաներ սահմանված գործառույթների իրականացման համար:

Տեղեկատվական ենթակառուցվածք- կազմակերպչական կառույցների համակարգ, որն ապահովում է գործունեությունը և զարգացումը տեղեկատվական տարածքև հաղորդակցման գործիքներ: Տեղեկատվական ենթակառուցվածքը ներառում է տեղեկատվական կենտրոնների, տվյալների և գիտելիքների բանկերի, կապի համակարգերի մի շարք և սպառողներին ապահովում է տեղեկատվական ռեսուրսների հասանելիություն:

Տեղեկատվական ռեսուրսներ ( IR) - սրանք առանձին փաստաթղթեր են և փաստաթղթերի առանձին զանգվածներ, փաստաթղթեր և փաստաթղթերի զանգվածներ տեղեկատվական համակարգերում ( գրադարաններ, արխիվներ, ֆոնդեր, տվյալների բազաներ և այլ տեղեկատվական համակարգեր).

Տեղեկատվական համակարգ (IP) - տեղեկատվության մշակման համակարգ և հարակից կազմակերպչական ռեսուրսներ ( մարդկային, տեխնիկական, ֆինանսական և այլն:) տեղեկատվություն տրամադրող և տարածող։

Անվտանգություն -շահերի պաշտպանության վիճակը ( նպատակներ) կազմակերպությունները սպառնալիքների դեպքում.

Տեղեկատվական անվտանգություն ( ԻԲ) — տեղեկատվական ոլորտում սպառնալիքների հետ կապված անվտանգություն. Անվտանգությունը ձեռք է բերվում IS հատկությունների մի շարք ապահովելու միջոցով՝ տեղեկատվական ակտիվների առկայություն, ամբողջականություն, գաղտնիություն: IS-ի գույքի առաջնահերթությունը որոշվում է այս ակտիվների արժեքով շահերի համար ( նպատակներ) կազմակերպություն.

Տեղեկատվական ակտիվների առկայություն -կազմակերպության IS-ի սեփականությունը, որը բաղկացած է նրանից, որ տեղեկատվական ակտիվները տրամադրվում են լիազորված օգտատիրոջը, օգտագործողի կողմից պահանջվող ձևով և վայրում, և այն ժամանակ, երբ դրանք անհրաժեշտ են:

Տեղեկատվական ակտիվների ամբողջականություն -կազմակերպության տեղեկատվական անվտանգության գույքը՝ իր տեղեկատվական ակտիվներում անփոփոխ պահպանելու կամ շտկելու հայտնաբերված փոփոխությունները:

Տեղեկատվական ակտիվների գաղտնիություն -կազմակերպության տեղեկատվական անվտանգության սեփականություն, որը բաղկացած է նրանից, որ տեղեկատվական ակտիվների մշակումը, պահպանումը և փոխանցումն իրականացվում է այնպես, որ տեղեկատվական ակտիվները հասանելի են միայն լիազորված օգտվողներին, համակարգի օբյեկտներին կամ գործընթացներին:

Տեղեկատվական անվտանգության համակարգ ( ՆԻԲ) — պաշտպանական միջոցների, պաշտպանիչ սարքավորումների և դրանց գործունեության գործընթացների մի շարք, ներառյալ ռեսուրսային և վարչական ( կազմակերպչական) տրամադրում.

Չլիազորված մուտք- տեղեկատվության հասանելիություն՝ խախտելով աշխատողի պաշտոնական լիազորությունները, հասանելիություն տեղեկատվությանը, որը փակ է հանրային հասանելիության համար այն անձանց կողմից, ովքեր չունեն այս տեղեկատվություն մուտք գործելու թույլտվություն, կամ մուտք ստանալ տեղեկատվություն այն անձի կողմից, ով իրավունք ունի մուտք գործել այս տեղեկատվություն. այն չափով, որը գերազանցում է ծառայողական պարտականությունները կատարելու համար անհրաժեշտ գումարը:

2. Տեղեկատվական անվտանգության ընդհանուր պահանջներ

Տեղեկատվական անվտանգության պահանջներ ( Հետագա -ԻԲ ) որոշում է կազմակերպության գործունեության բովանդակությունը և նպատակները ՏՏ կառավարման գործընթացներում:

Այս պահանջները ձևակերպված են հետևյալ ոլորտների համար.

• դերերի նշանակում և բաշխում և վստահություն անձնակազմի նկատմամբ.
• տեղեկատվական ենթակառուցվածքի օբյեկտների կյանքի ցիկլի փուլերը.
• պաշտպանություն չարտոնված մուտքից ( Հետագա - NSD ), մուտքի վերահսկում և գրանցում ավտոմատացված համակարգեր, հեռահաղորդակցման սարքավորումներում և ավտոմատ հեռախոսային կայաններում և այլն;
• հակավիրուսային պաշտպանություն;
• ինտերնետ ռեսուրսների օգտագործում;
• գաղտնագրային տեղեկատվության պաշտպանության միջոցների օգտագործումը.
• անձնական տվյալների պաշտպանություն.

3. Պաշտպանության ենթակա օբյեկտներ

Պաշտպանության ենթակա հիմնական օբյեկտներն են.

• տեղեկատվական ռեսուրսներներկայացված փաստաթղթերի և տեղեկատվության զանգվածների տեսքով՝ անկախ դրանց ներկայացման ձևից և տեսակից, ներառյալ գաղտնի և բաց տեղեկատվություն.
• տեղեկատվական ռեսուրսների ձևավորման, բաշխման և օգտագործման համակարգգրադարաններ, արխիվներ, տվյալների բազաներ և տվյալների բանկեր, տեղեկատվական տեխնոլոգիաներ, տեղեկատվության հավաքագրման, մշակման, պահպանման և փոխանցման կանոններ և ընթացակարգեր, տեխնիկական և սպասարկող անձնակազմ.
• տեղեկատվական ենթակառուցվածքներառյալ տեղեկատվության մշակման և վերլուծության համակարգերը, դրա մշակման, փոխանցման և ցուցադրման սարքավորումները և ծրագրակազմը, ներառյալ տեղեկատվության փոխանակման և հեռահաղորդակցության ուղիները, համակարգերը և տեղեկատվական անվտանգության համակարգերը, օբյեկտները և տարածքները, որոնցում տեղակայված են տեղեկատվական ենթակառուցվածքի բաղադրիչները:

3.1. Ավտոմատացված համակարգի առանձնահատկությունները

Տարբեր կատեգորիաների տեղեկատվությունը շրջանառվում է ՀԱՀ-ում: Պաշտպանված տեղեկատվությունը կարող է տարածվել տարբեր օգտվողների կողմից մեկ կորպորատիվ ցանցի տարբեր ենթացանցերից:

ՀԾ մի շարք ենթահամակարգեր ապահովում են փոխազդեցություն արտաքին ( պետական ​​և կոմերցիոն, ռուսական և արտասահմանյան) տեղեկատվության փոխանցման հատուկ միջոցներ օգտագործող կապի անջատված և հատուկ կապուղիներով կազմակերպություններ:

ՀԱՄ տեխնիկական միջոցների համալիրը ներառում է տվյալների մշակման միջոցներ ( աշխատանքային կայաններ, տվյալների բազայի սերվերներ, փոստի սերվերներև այլն:), տեղական ցանցերում տվյալների փոխանակման միջոցներ՝ գլոբալ ցանցեր մուտք գործելու հնարավորությամբ ( մալուխներ, կամուրջներ, դարպասներ, մոդեմներ և այլն:), ինչպես նաև պահեստային տարածքներ ( ներառյալ արխիվացում) տվյալներ։

ԱՀ-ի գործունեության հիմնական առանձնահատկությունները ներառում են.

• միասնական համակարգի մեջ ինտեգրվելու անհրաժեշտությունը մեծ թվովտեղեկատվության մշակման և փոխանցման տարբեր տեխնիկական միջոցներ.
• լուծման ենթակա խնդիրների լայն տեսականի և մշակված տվյալների տեսակները.
• տվյալների համակցում տարբեր նպատակների, պատկանելության և գաղտնիության մակարդակների համար ընդհանուր տվյալների բազաներում.
• արտաքին ցանցերին միացման ալիքների առկայությունը.
• գործունեության շարունակականություն;
• անվտանգության մակարդակների առումով տարբեր պահանջներով ենթահամակարգերի առկայություն՝ ֆիզիկապես միավորված մեկ ցանցի մեջ.
• օգտագործողների և սպասարկող անձնակազմի կատեգորիաների բազմազանություն:

Ընդհանուր առմամբ, մեկ ՀԾ-ն ստորաբաժանումների տեղական ցանցերի մի շարք է, որոնք փոխկապակցված են հեռահաղորդակցության միջոցով: Յուրաքանչյուր տեղական ցանց միավորում է մի շարք փոխկապակցված և փոխազդող ավտոմատացված ենթահամակարգեր ( տեխնոլոգիական կայքեր), կազմակերպության առանձին կառուցվածքային ստորաբաժանումների կողմից խնդիրների լուծման ապահովումը.

Ինֆորմատիզացիայի օբյեկտները ներառում են.

• տեխնոլոգիական սարքավորումներ ( համակարգչային սարքավորումներ, ցանցային և մալուխային սարքավորումներ);
• տեղեկատվական ռեսուրսներ;
• ծրագրային ապահովում ( օպերացիոն համակարգեր, տվյալների բազայի կառավարման համակարգեր, ընդհանուր համակարգային և կիրառական ծրագրեր);
• ավտոմատացված կապի և տվյալների փոխանցման համակարգեր (հեռահաղորդակցություն);
• կապի ալիքներ;
• գրասենյակային տարածք.

3.2. Պաշտպանվող կազմակերպության տեղեկատվական ակտիվների տեսակները

Գաղտնիության տարբեր մակարդակների տեղեկատվությունը շրջանառվում է կազմակերպության ՀԾ ենթահամակարգերում, որոնք պարունակում են սահմանափակ տարածման տեղեկատվություն ( սպասարկում, կոմերցիոն, անձնական տվյալներ) և բաց տեղեկատվություն։

ԱՀ փաստաթղթային հոսքը պարունակում է.

• վճարման հանձնարարականներ և ֆինանսական փաստաթղթեր;
• զեկույցներ ( ֆինանսական, վերլուծական և այլն:);
• տեղեկատվություն անձնական հաշիվների մասին;
• Անձնական տեղեկատվություն;
• սահմանափակ բաշխման այլ տեղեկություններ:

ԱՄ-ում շրջանառվող և տեղեկատվական ակտիվների հետևյալ տեսակներում պարունակվող բոլոր տեղեկությունները ենթակա են պաշտպանության.

• առևտրային և ծառայողական գաղտնիք կազմող տեղեկատվություն, որի մուտքը սահմանափակված է կազմակերպության կողմից՝ որպես տեղեկատվության սեփականատեր՝ համաձայն Դաշնային օրենքի: Տեղեկատվության, տեղեկատվականացման և տեղեկատվության պաշտպանության մասին «Իրավունքներ և դաշնային օրենք». Առևտրային գաղտնիքների մասին »;
• անձնական տվյալներ, որոնց հասանելիությունը սահմանափակված է Դաշնային օրենքի համաձայն. Անձնական տվյալների մասին »;
• բաց տեղեկատվություն՝ տեղեկատվության ամբողջականության և մատչելիության ապահովման առումով։

3.3. Ավտոմատացված համակարգի օգտագործողների կատեգորիաներ

Կազմակերպությունն ունի օգտատերերի և սպասարկող անձնակազմի մեծ թվով կատեգորիաներ, որոնք պետք է ունենան տարբեր իրավասություններ ՀՄ տեղեկատվական ռեսուրսներ մուտք գործելու համար.

• սովորական օգտվողներ ( վերջնական օգտագործողներ, կազմակերպչական ստորաբաժանումների աշխատակիցներ);
• սերվերի ադմինիստրատորներ ( ֆայլի սերվերներ, հավելվածների սերվերներ, տվյալների բազայի սերվերներ), լոկալ ցանցեր և կիրառական համակարգեր;
• համակարգի ծրագրավորողներ ( պատասխանատու է ընդհանուր ծրագրակազմի պահպանման համար) օգտագործողների սերվերների և աշխատատեղերի վրա.
• կիրառական ծրագրեր մշակողներ;
• համակարգչային տեխնիկայի տեխնիկական միջոցների սպասարկման մասնագետներ.
• տեղեկատվական անվտանգության ադմինիստրատորներ և այլն:

3.4. Ավտոմատացված համակարգի հիմնական բաղադրիչների խոցելիությունը

AU-ի ամենախոցելի բաղադրիչները ցանցային աշխատանքային կայաններն են՝ ավտոմատացված աշխատակայանները ( Հետագա - AWP ) աշխատողներ. տեղեկատվության չարտոնված մուտքի փորձեր կամ չարտոնված գործողությունների փորձեր ( ակամա և դիտավորյալ) v համակարգչային ցանց... Աշխատանքային կայանների ապարատային և ծրագրային ապահովման կոնֆիգուրացիայի խախտումները և դրանց գործունեության գործընթացներին անօրինական միջամտությունը կարող են հանգեցնել տեղեկատվության արգելափակման, կարևոր խնդիրների ժամանակին լուծման անհնարինությանը և առանձին աշխատակայանների և ենթահամակարգերի ձախողմանը:

Ցանցի տարրերը, ինչպիսիք են հատուկ ֆայլային սերվերները, տվյալների բազայի սերվերները և կիրառական սերվերները հատուկ պաշտպանության կարիք ունեն: Փոխանակման արձանագրությունների և սերվերի ռեսուրսների հասանելիությունը տարբերակելու միջոցների թերությունները կարող են հնարավոր դարձնել պաշտպանված տեղեկատվության չարտոնված մուտքը և ազդել տարբեր ենթահամակարգերի աշխատանքի վրա: Այս դեպքում փորձերը կարող են կատարվել որպես հեռահար ( ցանցային կայաններից) և ուղղակի ( սերվերի վահանակից) ազդեցություն սերվերների աշխատանքի և դրանց պաշտպանության վրա:

Կամուրջները, դարպասները, հանգույցները, երթուղիչները, անջատիչները և ցանցային այլ սարքերը, կապերը և հաղորդակցությունները նույնպես պաշտպանության կարիք ունեն: Դրանք կարող են օգտագործվել ներխուժողների կողմից՝ ցանցի գործառնությունները վերակազմավորելու և ապակազմակերպելու, փոխանցված տեղեկատվությունը որսալու, երթևեկությունը վերլուծելու և տվյալների փոխանակման գործընթացներին խանգարելու այլ մեթոդներ կիրառելու համար:

4. Տեղեկատվական անվտանգության հիմնական սկզբունքները

4.1. Անվտանգ շահագործման ընդհանուր սկզբունքներ

• Խնդրի հայտնաբերման ժամանակին. Կազմակերպությունը պետք է ժամանակին բացահայտի խնդիրները, որոնք կարող են ազդել նրա բիզնես նպատակների վրա:
• Խնդիրների զարգացման կանխատեսելիությունը. Կազմակերպությունը պետք է բացահայտի պատճառահետևանքային կապը հնարավոր խնդիրներև դրա հիման վրա կառուցել դրանց զարգացման ճշգրիտ կանխատեսումը:
• Բիզնեսի նպատակների վրա խնդիրների ազդեցության գնահատում: Կազմակերպությունը պետք է համարժեք գնահատի հայտնաբերված խնդիրների ազդեցությունը:
• Պաշտպանական միջոցառումների համապատասխանությունը. Կազմակերպությունը պետք է ընտրի պաշտպանիչ միջոցներ, որոնք համարժեք են սպառնալիքների և իրավախախտների մոդելներին՝ հաշվի առնելով նման միջոցների իրականացման ծախսերը և սպառնալիքների իրականացման հնարավոր կորուստների չափը:
• Պաշտպանական միջոցառումների արդյունավետությունը. Կազմակերպությունը պետք է արդյունավետ կերպով իրականացնի ձեռնարկված պաշտպանական միջոցառումները:
• Օգտագործելով փորձը որոշումներ կայացնելու և իրականացնելու համար: Կազմակերպությունը պետք է կուտակի, ընդհանրացնի և օգտագործի ինչպես սեփական փորձը, այնպես էլ այլ կազմակերպությունների փորձը որոշումների կայացման և դրանց իրականացման բոլոր մակարդակներում:
• Անվտանգ շահագործման սկզբունքների շարունակականություն. Կազմակերպությունը պետք է ապահովի անվտանգ շահագործման սկզբունքների իրականացման շարունակականությունը:
• Պաշտպանական միջոցառումների վերահսկելիություն: Կազմակերպությունը պետք է կիրառի միայն այն երաշխիքները, որոնք կարող են ստուգվել, որ ճիշտ են աշխատում, և կազմակերպությունը պետք է պարբերաբար գնահատի երաշխիքների համապատասխանությունը և դրանց իրականացման արդյունավետությունը՝ հաշվի առնելով երաշխիքների ազդեցությունը կազմակերպության բիզնես նպատակների վրա:

4.2. Տեղեկատվական անվտանգության ապահովման հատուկ սկզբունքներ

• Տեղեկատվական անվտանգության հատուկ սկզբունքների ներդրումն ուղղված է կազմակերպությունում տեղեկատվական անվտանգության կառավարման գործընթացների հասունության մակարդակի բարձրացմանը:
• Նպատակների սահմանում. Կազմակերպության ֆունկցիոնալ և տեղեկատվական անվտանգության նպատակները պետք է հստակորեն սահմանվեն ներքին փաստաթղթում: Անորոշությունը հանգեցնում է « անորոշություն«Կազմակերպչական կառուցվածքը, անձնակազմի դերերը, տեղեկատվական անվտանգության քաղաքականությունը և ձեռնարկված պաշտպանական միջոցների համարժեքությունը գնահատելու անհնարինությունը։
• Իմանալով ձեր հաճախորդներին և աշխատակիցներին: Կազմակերպությունը պետք է ունենա տեղեկատվություն իր հաճախորդների մասին, ուշադիր ընտրի անձնակազմ ( աշխատողներ), զարգացնել և պահպանել կորպորատիվ էթիկան, որը վստահության բարենպաստ միջավայր է ստեղծում ակտիվների կառավարման կազմակերպության գործունեության համար։
• Անհատականացում և դերերի և պարտականությունների համարժեք բաշխում. Կազմակերպության պաշտոնատար անձանց պատասխանատվությունը իր ունեցվածքի հետ կապված որոշումների համար պետք է անձնավորված լինի և իրականացվի հիմնականում երաշխավորության տեսքով: Այն պետք է համարժեք լինի կազմակերպության նպատակների վրա ազդեցության աստիճանին, ամրագրվի քաղաքականության մեջ, վերահսկվի և բարելավվի:
• Դերերի համապատասխանությունը գործառույթներին և ընթացակարգերին և դրանց համադրելիությունը չափանիշների և գնահատման համակարգի հետ: Դերերը պետք է համապատասխան կերպով արտացոլեն կազմակերպությունում իրականացվող գործառույթները և դրանց իրականացման ընթացակարգերը: Փոխկապակցված դերեր նշանակելիս պետք է հաշվի առնել դրանց իրականացման անհրաժեշտ հաջորդականությունը։ Դերը պետք է համապատասխանի դրա իրականացման արդյունավետությունը գնահատելու չափանիշներին: Խաղացած դերի հիմնական բովանդակությունն ու որակն իրականում որոշվում են դրա նկատմամբ կիրառվող գնահատման համակարգով։
• Ծառայությունների և ծառայությունների առկայություն: Կազմակերպությունը պետք է ապահովի իր հաճախորդների և կապալառուների համար ծառայությունների և ծառայությունների հասանելիությունը համապատասխան պայմանագրերով սահմանված սահմանված ժամկետներում. պայմանագրեր) և (կամ) այլ փաստաթղթեր:
• Տեղեկատվական անվտանգության դիտարկելիությունը և գնահատելիությունը: Ցանկացած առաջարկվող պաշտպանական միջոց պետք է նախագծված լինի այնպես, որ դրանց կիրառման ազդեցությունը հստակ տեսանելի լինի, դիտելի ( թափանցիկ) և կարող է գնահատվել համապատասխան իրավասություն ունեցող կազմակերպության ստորաբաժանման կողմից:

5. Տեղեկատվական անվտանգության նպատակներն ու խնդիրները

5.1. Ինֆորմացիոն հարաբերությունների առարկաները ավտոմատացված համակարգում

ՀԱՄ-ից օգտվելիս և տեղեկատվության անվտանգությունն ապահովելիս իրավահարաբերությունների սուբյեկտներն են.

• Կազմակերպությունը որպես տեղեկատվական ռեսուրսների սեփականատեր.
• ԱԷԿ-ի շահագործումն ապահովող կազմակերպության ստորաբաժանումները.
• կազմակերպության կառուցվածքային ստորաբաժանումների աշխատակիցները՝ որպես ՀԱՀ-ում տեղեկատվություն օգտագործողներ և մատակարարներ՝ իրենց վերապահված գործառույթներին համապատասխան.
• իրավաբանական և ֆիզիկական անձինք, որոնց մասին տեղեկատվությունը կուտակվում, պահպանվում և մշակվում է ՀԾ-ում.
• այլ իրավաբանական և ֆիզիկական անձինք, որոնք ներգրավված են Միության ստեղծման և գործունեության մեջ ( համակարգի բաղադրիչների մշակողներ, ոլորտում տարբեր ծառայությունների մատուցմամբ զբաղվող կազմակերպություններ տեղեկատվական տեխնոլոգիաներև այլն:).

Տեղեկատվական հարաբերությունների թվարկված սուբյեկտները շահագրգռված են ապահովելու.

• որոշակի տեղեկատվության գաղտնիություն;
• հուսալիություն ( ամբողջականություն, ճշգրտություն, համարժեքություն, ամբողջականություն) տեղեկատվություն;
• պաշտպանություն կեղծի պարտադրումից ( անվստահելի, աղավաղված) տեղեկատվություն;
• անհրաժեշտ տեղեկատվության ժամանակին հասանելիություն;
• օրինական իրավունքների խախտման համար պատասխանատվության տարբերակում ( շահերը) տեղեկատվական հարաբերությունների այլ սուբյեկտները և տեղեկատվության մշակման սահմանված կանոնները.
• տեղեկատվության մշակման և փոխանցման գործընթացների շարունակական մոնիտորինգի և կառավարման հնարավորությունը.
• տեղեկատվության մի մասի պաշտպանությունը դրա անօրինական վերարտադրումից ( հեղինակային իրավունքների պաշտպանություն, տեղեկատվության սեփականատիրոջ իրավունքները և այլն:).

5.2. Տեղեկատվական անվտանգության նպատակը

Տեղեկատվական անվտանգության ապահովման հիմնական նպատակը տեղեկատվական հարաբերությունների սուբյեկտներին պաշտպանելն է նրանց հասցվող հնարավոր նյութական, բարոյական կամ այլ վնասներից՝ պատահական կամ դիտավորյալ չարտոնված միջամտության միջոցով ԱՄ-ի գործունեության գործընթացին կամ դրանում շրջանառվող տեղեկատվության չարտոնված մուտքի և դրա անօրինական մուտքի միջոցով: օգտագործել.

Այս նպատակը ձեռք է բերվում տեղեկատվության հետևյալ հատկությունների և դրա մշակման ավտոմատացված համակարգի ապահովման և մշտական ​​պահպանման միջոցով.

• գրանցված օգտվողների համար մշակված տեղեկատվության առկայությունը.
• տեղեկատվության որոշակի մասի գաղտնիությունը, որը պահպանվում, մշակվում և փոխանցվում է կապի ուղիներով.
• պահպանված, մշակված և հաղորդակցման ուղիներով փոխանցվող տեղեկատվության ամբողջականությունն ու իսկությունը:

5.3. Տեղեկատվական անվտանգության նպատակները

Տեղեկատվական անվտանգության ապահովման հիմնական նպատակին հասնելու համար ԱԷԿ-ի տեղեկատվական անվտանգության համակարգը պետք է արդյունավետ լուծում տա հետևյալ խնդիրներին.

• պաշտպանություն չլիազորված անձանց կողմից Միության գործունեության գործընթացին միջամտությունից.
• գրանցված օգտվողների մուտքի տարբերակումը ԱՀ-ի ապարատային, ծրագրային ապահովման և տեղեկատվական ռեսուրսներին, այսինքն՝ պաշտպանություն չարտոնված մուտքից.
• Համակարգի մատյաններում պաշտպանված ՀԾ ռեսուրսների օգտագործման ժամանակ օգտագործողների գործողությունների գրանցում և համակարգի օգտագործողների գործողությունների ճշգրտության պարբերական հսկողություն՝ վերլուծելով այդ տեղեկամատյանների բովանդակությունը անվտանգության ստորաբաժանումների մասնագետների կողմից.
• պաշտպանություն չարտոնված փոփոխություններից և ամբողջականության վերահսկումից ( անփոփոխելիության ապահովում) ծրագրերի կատարման միջավայրը և խախտման դեպքում դրա վերականգնումը.
• պաշտպանություն չարտոնված փոփոխություններից և ԱՀ-ում օգտագործվող ծրագրաշարի ամբողջականության վերահսկումից, ինչպես նաև համակարգի պաշտպանություն չարտոնված ծրագրերի, ներառյալ համակարգչային վիրուսների ներդրումից.
• տեղեկատվության պաշտպանություն տեխնիկական ուղիներով արտահոսքից դրա մշակման, պահպանման և հաղորդակցման ուղիներով փոխանցման ընթացքում.
• պահպանվող, մշակված և հաղորդակցման ուղիներով փոխանցվող տեղեկատվության պաշտպանությունը չարտոնված բացահայտումից կամ խեղաթյուրումից.
• տեղեկատվության փոխանակմանը մասնակցող օգտատերերի նույնականացման ապահովում.
• գաղտնագրային տեղեկատվության պաշտպանության գործիքների գոյատևման ապահովում, երբ հիմնական համակարգի մի մասը վտանգված է.
• Տեղեկատվական անվտանգությանը սպառնացող վտանգի աղբյուրների, տեղեկատվական հարաբերությունների շահագրգիռ սուբյեկտների վնասմանը նպաստող պատճառների և պայմանների ժամանակին բացահայտում, տեղեկատվական անվտանգության սպառնալիքներին և բացասական միտումներին արագ արձագանքելու մեխանիզմի ստեղծում.
• պայմանների ստեղծում ֆիզիկական և իրավաբանական անձանց ապօրինի գործողությունների հետևանքով պատճառված վնասը նվազագույնի հասցնելու և տեղայնացնելու, բացասական ազդեցության թուլացման և տեղեկատվական անվտանգության խախտման հետևանքների վերացման համար.

5.4. Տեղեկատվական անվտանգության խնդիրների լուծման ուղիները

Տեղեկատվական անվտանգության խնդիրների լուծումը ձեռք է բերվում.

• պաշտպանության ենթակա համակարգի բոլոր ռեսուրսների խիստ հաշվառում ( տեղեկատվություն, առաջադրանքներ, կապի ուղիներ, սերվերներ, AWP);
• կազմակերպության կառուցվածքային ստորաբաժանումների աշխատողների տեղեկատվության մշակման գործընթացների և գործողությունների կարգավորումը, ինչպես նաև ատոմակայանի ծրագրային ապահովման և սարքավորումների տեխնիկական սպասարկումն ու փոփոխությունները կատարող անձնակազմի գործողությունները՝ տեղեկատվական անվտանգության կազմակերպչական և վարչական փաստաթղթերի հիման վրա.
• տեղեկատվական անվտանգության վերաբերյալ կազմակերպչական և վարչական փաստաթղթերի պահանջների ամբողջականությունը, իրական իրագործելիությունը և համապատասխանությունը.
• տեղեկատվության անվտանգության ապահովմանն ուղղված գործնական միջոցառումների կազմակերպման և իրականացման համար պատասխանատու աշխատողների նշանակում և վերապատրաստում.
• յուրաքանչյուր աշխատակցի լիազորություններ տալով նրան նվազագույնի, որն անհրաժեշտ է իր գործառնական պարտականությունները կատարելու համար՝ ատոմակայանի ռեսուրսներին մուտք գործելու լիազորությամբ.
• ատոմակայանի սարքավորումներն ու ծրագրային ապահովումն օգտագործող և պահպանող բոլոր աշխատակիցների կողմից հստակ գիտելիքներ և խստիվ պահպանում, տեղեկատվական անվտանգության վերաբերյալ կազմակերպչական և վարչական փաստաթղթերի պահանջները.
• յուրաքանչյուր աշխատակցի անձնական պատասխանատվությունը իր գործառնական պարտականությունների շրջանակներում տեղեկատվության ավտոմատացված մշակման գործընթացներին մասնակցող և Միության ռեսուրսներին հասանելիություն ունեցող յուրաքանչյուր աշխատողի համար.
• տեղեկատվության մշակման տեխնոլոգիական գործընթացների իրականացում` օգտագործելով կազմակերպչական և տեխնիկական միջոցների համալիր` ծրագրային ապահովման, սարքավորումների և տվյալների պաշտպանության համար.
• արդյունավետ միջոցների ընդունում՝ ապահովելու տեխնիկական սարքավորումների ֆիզիկական ամբողջականությունը և ԱԷԿ-ի բաղադրիչների պաշտպանության անհրաժեշտ մակարդակի շարունակական պահպանումը.
• տեխնիկական ( ծրագրային ապահովում և սարքավորում)համակարգի ռեսուրսների պաշտպանության միջոցներ և դրանց օգտագործման շարունակական վարչական աջակցություն.
• Տեղեկատվական հոսքերի սահմանազատում և անպաշտպան հաղորդակցության ուղիներով սահմանափակ բաշխված տեղեկատվության փոխանցման արգելում.
• արդյունավետ վերահսկողություն աշխատակիցների կողմից տեղեկատվական անվտանգության պահանջներին համապատասխանության նկատմամբ.
• մշտական ​​մոնիտորինգ ցանցային ռեսուրսներ, խոցելիության բացահայտում, համակարգչային ցանցի անվտանգության արտաքին և ներքին սպառնալիքների ժամանակին հայտնաբերում և չեզոքացում.
• կազմակերպության շահերի օրինական պաշտպանություն տեղեկատվական անվտանգության ոլորտում անօրինական գործողություններից.
• ձեռնարկված միջոցառումների և օգտագործվող տեղեկատվության պաշտպանության միջոցների արդյունավետության և բավարարության շարունակական վերլուծություն, ատոմակայանում տեղեկատվական պաշտպանության համակարգի կատարելագործման առաջարկների մշակում և իրականացում.

6 տեղեկատվական անվտանգության սպառնալիք

6.1. Տեղեկատվական անվտանգության սպառնալիքները և դրանց աղբյուրները

Ատոմակայանում մշակվող տեղեկատվության անվտանգությանը սպառնացող ամենավտանգավոր սպառնալիքներն են.

• գաղտնիության խախտում ( բացահայտում, արտահոսք) ծառայողական կամ կոմերցիոն գաղտնիք կազմող տեղեկատվություն, ներառյալ անձնական տվյալները.
• անսարքություն ( աշխատանքի անկազմակերպություն) ԱՀ, տեղեկատվության արգելափակում, տեխնոլոգիական գործընթացների խախտում, խնդիրների ժամանակին լուծման խաթարում.
• ամբողջականության խախտում ( աղավաղում, փոխարինում, ոչնչացում) ՀԱՄ-ի տեղեկատվական, ծրագրային և այլ ռեսուրսներ:

ԱԷԿ-ի տեղեկատվական անվտանգությանը սպառնացող հիմնական աղբյուրներն են.

• բնական և տեխնածին բնույթի անբարենպաստ իրադարձություններ.
• ահաբեկիչներ, հանցագործներ;
• համակարգչային կիբերհանցագործները, որոնք իրականացնում են նպատակային ապակառուցողական գործողություններ, ներառյալ օգտագործումը համակարգչային վիրուսներև այլ տեսակի վնասակար կոդեր և հարձակումներ.
• ծրագրային ապահովման և սարքավորումների մատակարարներ, սպառվող նյութեր, ծառայություններ և այլն;
• կապալառուներ, որոնք իրականացնում են սարքավորումների տեղադրում, գործարկում և վերանորոգում.
• վերահսկող և կարգավորող մարմինների, գործող օրենսդրության պահանջներին չհամապատասխանելը.
• ծրագրային ապահովման և սարքավորումների ձախողումներ, ձախողումներ, ոչնչացում / վնաս.
• աշխատողներ, որոնք օրինական մասնակիցներ են ԱՄ-ում գործընթացներին և գործում են տրված լիազորությունների շրջանակից դուրս.
• աշխատողներ, որոնք հանդիսանում են ՀԱՄ-ում գործընթացների օրինական մասնակիցներ և գործում են տրված լիազորությունների շրջանակներում.

6.2. Ոչ միտումնավոր գործողություններ, որոնք հանգեցնում են տեղեկատվական անվտանգության խախտմանը և դրանց կանխարգելմանն ուղղված միջոցառումներին

Կազմակերպության աշխատակիցները, որոնք անմիջականորեն մուտք ունեն ԱՀ-ում տեղեկատվության մշակման գործընթացներին, ոչ կանխամտածված պատահական գործողությունների պոտենցիալ աղբյուր են, որոնք կարող են հանգեցնել տեղեկատվական անվտանգության խախտման:

Հիմնական չնախատեսված գործողություններ, որոնք հանգեցնում են տեղեկատվական անվտանգության խախտման (Մարդկանց կողմից պատահաբար, անտեղյակության, անուշադրության կամ անփութության հետևանքով կատարված գործողությունները, հետաքրքրասիրությունից դրդված, բայց առանց չարամիտ դիտավորության.) և միջոցներ են ձեռնարկվում նման գործողությունները կանխելու և դրանց պատճառած վնասը նվազագույնի հասցնելու համար Աղյուսակ 1.

Աղյուսակ 1

Տեղեկատվական անվտանգության խախտման տանող հիմնական գործողությունները
Աշխատակիցների գործողությունները, որոնք հանգեցնում են համակարգի մասնակի կամ ամբողջական ձախողման կամ ապարատային կամ ծրագրային ապահովման աշխատանքի խաթարմանը. սարքավորումների անջատում կամ սարքերի և ծրագրերի գործառնական ռեժիմների փոփոխություն. համակարգի տեղեկատվական ռեսուրսների ոչնչացում ( Սարքավորումների ոչ միտումնավոր վնասում, ջնջում, խեղաթյուրում ծրագրեր կամ ֆայլեր, որոնք պարունակում են կարևոր տեղեկատվություն, այդ թվում՝ համակարգային, կապի ուղիների վնասում, պահեստավորման կրիչների ոչ միտումնավոր վնասում և այլն:)	Կազմակերպչական միջոցառումներ ( ). Ֆիզիկական միջոցների կիրառումը՝ խախտման պատահական կատարումը կանխելու համար. Տեխնիկական ( ապարատային և ծրագրային ապահովում) ռեսուրսների հասանելիության տարբերակման միջոցներ: Կրիտիկական ռեսուրսների վերապահում.
Ծրագրերի չարտոնված գործարկում, որոնք ոչ կոմպետենտ օգտագործման դեպքում կարող են հանգեցնել համակարգի աշխատանքի կորստի ( սառեցնում կամ օղակներ) կամ համակարգում անդառնալի փոփոխությունների իրականացում ( պահեստավորման կրիչների ձևաչափում կամ վերակառուցում, տվյալների ջնջում և այլն:)	Կազմակերպչական միջոցառումներ ( բոլոր պոտենցիալ վտանգավոր ծրագրերի հեռացում աշխատանքային կայանից): Տեխնիկական ( ապարատային և ծրագրային ապահովում) աշխատանքային կայանի ծրագրերի հասանելիությունը տարբերակելու միջոցներ:
Չլիազորված չգրանցված ծրագրերի ներմուծում և օգտագործում ( խաղեր, ուսուցում, տեխնոլոգիական և այլն, որոնք անհրաժեշտ չեն աշխատողների համար իրենց ծառայողական պարտականությունները կատարելու համար) ռեսուրսների հետագա անհիմն վատնմամբ ( պրոցեսորի ժամանակը, պատահական մուտքի հիշողությունը, հիշողությունը արտաքին կրիչների վրա և այլն:)	Կազմակերպչական միջոցառումներ ( արգելքների կիրառում): Տեխնիկական ( ապարատային և ծրագրային ապահովում) նշանակում է չգրանցված ծրագրերի չարտոնված ներդրման և օգտագործման կանխարգելում:
Ձեր համակարգչի ոչ միտումնավոր վիրուսային վարակը	Կազմակերպչական միջոցառումներ ( գործողությունների կարգավորում, արգելքների ներդրում). Տեխնոլոգիական միջոցառումներ ( վիրուսների հայտնաբերման և ոչնչացման հատուկ ծրագրերի օգտագործումը). Համակարգչային վիրուսներով վարակվելու կանխարգելող ապարատային և ծրագրային գործիքների օգտագործումը:
Մուտքի վերահսկման հատկանիշների բացահայտում, փոխանցում կամ կորուստ ( գաղտնաբառեր, գաղտնագրման բանալիներ կամ էլեկտրոնային ստորագրություն, նույնականացման քարտեր, անցագրեր և այլն:)	Կազմակերպչական միջոցառումներ ( գործողությունների կարգավորում, արգելքների ներդրում, պատասխանատվության ուժեղացում): Նշված մանրամասների անվտանգությունն ապահովելու համար ֆիզիկական միջոցների օգտագործումը.
Անտեսելով կազմակերպչական սահմանափակումները ( սահմանված կանոններ) համակարգում աշխատելիս	Կազմակերպչական միջոցառումներ ( ): Պաշտպանության լրացուցիչ ֆիզիկական և տեխնիկական միջոցների օգտագործումը.
Անվտանգության անձնակազմի կողմից պաշտպանիչ սարքավորումների ոչ իրավասու օգտագործումը, կարգավորումը կամ ոչ պատշաճ անջատումը	Կազմակերպչական միջոցառումներ ( կադրերի վերապատրաստում, պատասխանատվության և վերահսկողության ուժեղացում).
Սխալ տվյալների մուտքագրում	Կազմակերպչական միջոցառումներ ( պատասխանատվության և վերահսկողության բարձրացում): Տվյալների մուտքագրման օպերատորների սխալները վերահսկելու տեխնոլոգիական միջոցառումներ:

6.3. Տեղեկատվական անվտանգությունը խախտելու միտումնավոր գործողություններ և դրանց կանխարգելման միջոցառումներ

Հիմնական դիտավորյալ գործողություններ ( եսասիրական նպատակներով, հարկադրանքով, վրեժ լուծելու ցանկությամբ և այլն։), որը կհանգեցնի ատոմակայանի տեղեկատվական անվտանգության խախտմանը, և դրանց կանխարգելման և պատճառված հնարավոր վնասների նվազեցմանն ուղղված միջոցառումները տրված են ս.թ. Աղյուսակ 2.

աղյուսակ 2

Հիմնական դիտավորյալ գործողությունները, որոնք հանգեցնում են տեղեկատվական անվտանգության խախտմանը	Սպառնալիքները կանխելու և վնասը նվազագույնի հասցնելու միջոցներ
Ավտոմատացված համակարգի բոլոր կամ որոշ կարևորագույն բաղադրիչների ֆիզիկական ոչնչացում կամ անաշխատունակություն ( սարքեր, համակարգի կարևոր տեղեկատվության կրիչներ, անձնակազմ և այլն:), անջատել կամ անջատել ենթահամակարգերը՝ հաշվողական համակարգերի գործունեությունը ապահովելու համար ( էլեկտրամատակարարում, կապի գծեր և այլն։)	Կազմակերպչական միջոցառումներ ( գործողությունների կարգավորում, արգելքների ներդրում). Խախտման կանխամտածված կատարումը կանխելու համար ֆիզիկական միջոցների օգտագործումը. Կրիտիկական ռեսուրսների վերապահում.
Գործակալների ներդրումը համակարգի անձնակազմի թվին ( ներառյալ անվտանգության համար պատասխանատու վարչական խումբը), հավաքագրում ( կաշառքով, շանտաժով, սպառնալիքներով և այլն։) օգտատերեր, ովքեր ունեն պաշտպանված ռեսուրսներ մուտք գործելու որոշակի իրավունքներ	Կազմակերպչական միջոցառումներ ( ընտրություն, տեղաբաշխում և անձնակազմի հետ աշխատանք, վերահսկողության և պատասխանատվության ուժեղացում): Անձնակազմի գործողությունների ավտոմատ գրանցում.
Տեղեկատվության կրիչների գողություն ( տպագրություններ, մագնիսական սկավառակներ, ժապավեններ, պահեստավորման սարքեր և ամբողջական համակարգիչներ, արդյունաբերական թափոնների գողություն ( տպագրություններ, գրառումներ, դեն նետված կրիչներ և այլն:)	Կազմակերպչական միջոցառումներ ( ).
Տեղեկատվության կրիչների չարտոնված պատճենում, պատահական մուտքի հիշողությունից և արտաքին պահեստավորման սարքերից մնացորդային տեղեկատվության ընթերցում	Կազմակերպչական միջոցառումներ ( պաշտպանված տեղեկություններով կրիչների պահպանման և օգտագործման կազմակերպում): Պաշտպանված ռեսուրսների հասանելիության սահմանազատման տեխնիկական միջոցների կիրառում և փաստաթղթերի տպագիր պատճենների ստացման ավտոմատ գրանցում։
Գաղտնաբառերի և մուտքի վերահսկման այլ մանրամասների անօրինական ստացում ( գաղտնի միջոցներով, օգտագործելով օգտատերերի անփութությունը, ընտրությամբ, համակարգային ինտերֆեյսի իմիտացիայով ծրագրային էջանիշներով և այլն։) հետագա քողարկմամբ որպես գրանցված օգտվող:	Կազմակերպչական միջոցառումներ ( գործողությունների կարգավորում, արգելքների ներդրում, կադրերի հետ աշխատանք): Տեխնիկական միջոցների օգտագործումը, որոնք խոչընդոտում են գաղտնաբառերի, բանալիների և այլ մանրամասների գաղտնալսման ծրագրերի իրականացմանը:
AWP-ների չարտոնված օգտագործումը եզակի ֆիզիկական բնութագրեր ունեցող օգտատերերի համար, ինչպիսիք են ցանցում աշխատանքային կայանի թիվը, ֆիզիկական հասցե, հասցեն կապի համակարգում, ապարատային կոդավորման միավոր և այլն:	Կազմակերպչական միջոցառումներ ( տարածքներ մուտքի և այդ AWP-ների վրա աշխատելու թույլտվության խիստ կարգավորում): Մուտքի վերահսկման ֆիզիկական և տեխնիկական միջոցների կիրառում.
Ծրագրային ապահովման չարտոնված ձևափոխում - ծրագրային ապահովման «էջանիշների» և «վիրուսների» ներդրում ( Տրոյական ձիեր և սխալներ), այսինքն՝ ծրագրերի այնպիսի բաժիններ, որոնք անհրաժեշտ չեն հայտարարված գործառույթների իրականացման համար, բայց որոնք թույլ են տալիս հաղթահարել պաշտպանության համակարգը, գաղտնի և ապօրինի մուտք գործել համակարգի ռեսուրսներ՝ պաշտպանված տեղեկատվությունը գրանցելու և փոխանցելու համար կամ անկազմակերպելու գործունեությունը։ համակարգ	Կազմակերպչական միջոցառումներ ( աշխատանքի ընդունման խիստ կանոնակարգում). AWP-ի ապարատային և ծրագրային կազմաձևման չթույլատրված փոփոխությունը կանխելու և մուտքը տարբերակելու ֆիզիկական և տեխնիկական միջոցների օգտագործումը: Ծրագրային ապահովման ամբողջականության վերահսկման գործիքների կիրառում:
Հաղորդակցման ուղիներով փոխանցվող տվյալների գաղտնալսումը, դրանց վերլուծությունը՝ գաղտնի տեղեկատվություն ստանալու և փոխանակման արձանագրությունները պարզաբանելու, ցանց մուտք գործելու և օգտատերերին լիազորելու կանոններ, համակարգ ներթափանցելու նրանց նմանակման հետագա փորձերով։	Կապի ուղիների ֆիզիկական պաշտպանություն. Հաղորդվող տեղեկատվության կրիպտոգրաֆիկ պաշտպանության միջոցների կիրառում.
Համակարգի գործունեության գործընթացին միջամտություն հանրային ցանցերից՝ տվյալների չարտոնված փոփոխության, գաղտնի տեղեկատվության հասանելիության, ենթահամակարգերի աշխատանքի անկազմակերպման նպատակով և այլն:	Կազմակերպչական միջոցառումներ ( հանրային ցանցերում միացման և շահագործման կարգավորումը): Պաշտպանության հատուկ տեխնիկական միջոցների օգտագործումը ( firewalls, անվտանգության վերահսկում և համակարգի ռեսուրսների վրա հարձակումների հայտնաբերում և այլն:).

6.4. Տեղեկատվության արտահոսքը տեխնիկական ուղիներով

ԱԷԿ-ի տեխնիկական սարքավորումների շահագործման ընթացքում հնարավոր են արտահոսքի կամ տեղեկատվության ամբողջականության խախտման, տեխնիկական սարքավորումների աշխատանքի խաթարման հետևյալ ուղիները.

• Տեխնիկական միջոցներից և տեղեկատվական հաղորդման գծերից տեղեկատվական ազդանշանի կողմնակի էլեկտրամագնիսական ճառագայթում.
• Էլեկտրոնային համակարգիչների միջոցով մշակված տեղեկատվական ազդանշանի գաղտնալսումը դեպի լարերը և գծերը, որոնք դուրս են գալիս գրասենյակների վերահսկվող տարածքից, ներառյալ. հիմնավորման և էլեկտրամատակարարման սխեմաների վրա;
• բազմազան էլեկտրոնային սարքերտեղեկատվության գաղտնալսում ( ներառյալ «Էջանիշներ») կապված է կապի ուղիների կամ տեղեկատվության մշակման տեխնիկական միջոցների հետ.
• ցուցադրվող էկրաններից տեղեկատվության դիտում և դրա ցուցադրման այլ միջոցներ՝ օգտագործելով օպտիկական միջոցներ.
• ազդեցություն ապարատային կամ ծրագրային ապահովման վրա՝ ամբողջականությունը խախտելու նպատակով ( ոչնչացում, աղավաղումտեղեկատվությունը, տեխնիկական միջոցների գործունակությունը, տեղեկատվական անվտանգության միջոցները և տեղեկատվության փոխանակման ժամանակին, ներառյալ էլեկտրամագնիսականը, հատուկ ներդրված էլեկտրոնային և ծրագրային գործիքների միջոցով. «Էջանիշներ»).

Հաշվի առնելով տեղեկատվության մշակման և անվտանգության ապահովման առանձնահատկությունները՝ գաղտնի տեղեկատվության արտահոսքի սպառնալիքը ( ներառյալ անձնական տվյալները) տեխնիկական ուղիներով անտեղի են կազմակերպության համար:

6.5. Հավանական ներխուժողի ոչ պաշտոնական մոդել

Հանցագործն այն անձն է, ով փորձել է իրականացնել արգելված գործողություններ ( գործողություն) սխալմամբ, անտեղյակությամբ կամ դիտավորյալ չարությամբ ( սեփական շահերից դուրս) կամ առանց դրա ( հանուն խաղի կամ հաճույքի, ինքնահաստատման նպատակով և այլն։) և դրա համար օգտագործելով տարբեր հնարավորություններ, մեթոդներ և միջոցներ:

ԱԷԿ-ի պաշտպանության համակարգը պետք է հիմնված լինի համակարգում իրավախախտների հետևյալ հնարավոր տեսակների վերաբերյալ ենթադրությունների վրա ( հաշվի առնելով անձանց կատեգորիան, մոտիվացիան, որակավորումը, հատուկ միջոցների առկայությունը և այլն։):

• « Անփորձ (անուշադիր) օգտվող»- աշխատող, ով կարող է փորձել կատարել արգելված գործողություններ, մուտք գործել ԱՀ-ի պաշտպանված ռեսուրսներ՝ գերազանցելով իր լիազորությունները, մուտքագրել սխալ տվյալներ և այլն: գործողություններ սխալմամբ, անկարողությամբ կամ անփութությամբ՝ առանց չարամիտ մտադրության և օգտագործելով միայն ստանդարտ ( հասանելի է նրան) ապարատային և ծրագրային ապահովում:
• « Սիրահար«- աշխատող, որը փորձում է հաղթահարել պաշտպանական համակարգը՝ առանց եսասիրական նպատակների և չարամիտ մտադրության, ինքնահաստատման կամ դրանից». սպորտային հետաքրքրություն«. Պաշտպանության համակարգը հաղթահարելու և արգելված գործողություններ կատարելու համար նա կարող է օգտագործել տարբեր մեթոդներռեսուրսներ մուտք գործելու լրացուցիչ լիազորություն ստանալը ( անուններ, գաղտնաբառեր և այլն: այլ օգտվողներ), պաշտպանության համակարգի կառուցման և առկա անձնակազմի թերությունները ( տեղադրված է աշխատանքային կայանում) ծրագրեր ( չարտոնված գործողությունները՝ գերազանցելով թույլատրված միջոցների օգտագործման իրենց լիազորությունները): Բացի այդ, նա կարող է փորձել օգտագործել լրացուցիչ ոչ ստանդարտ գործիքային և տեխնոլոգիական ծրագրեր ( վրիպազերծիչներ, կոմունալ ծառայություններ), ինքնուրույն մշակված ծրագրեր կամ ստանդարտ լրացուցիչ տեխնիկական միջոցներ։
• « Խաբեբա«- աշխատակից, ով կարող է փորձել անօրինական տեխնոլոգիական գործողություններ կատարել, կեղծ տվյալներ մուտքագրել և նմանատիպ գործողություններ եսասիրական նպատակներով, հարկադրանքով կամ չարամիտ դիտավորությամբ, բայց օգտագործելով միայն կանոնավոր ( տեղադրված է աշխատանքային կայանում և հասանելի է դրան) ապարատային և ծրագրային ապահովումն իր անունից կամ մեկ այլ աշխատակցի անունից ( իմանալով նրա անունը և գաղտնաբառը, օգտագործելով աշխատավայրից նրա կարճատև բացակայությունը և այլն։).
• « Արտաքին ներխուժող (ներխուժող)«- կողմնակի կամ նախկին աշխատակից, որը նպատակաուղղված է գործում՝ ելնելով եսասիրական շահերից, վրեժխնդրությունից կամ հետաքրքրասիրությունից ելնելով, հնարավոր է՝ ուրիշների հետ դավաճանությամբ: Նա կարող է օգտագործել տեղեկատվության անվտանգությունը խախտելու մեթոդների ամբողջ փաթեթը, հանրային ցանցերին բնորոշ անվտանգության համակարգերը խախտելու մեթոդներն ու միջոցները ( հատկապես IP-ի վրա հիմնված ցանցեր), ներառյալ ծրագրային էջանիշերի հեռահար ներդրումը և հատուկ գործիքային և տեխնոլոգիական ծրագրերի օգտագործումը, օգտագործելով փոխանակման արձանագրությունների առկա թույլ կողմերը և կազմակերպության ՀԾ ցանցի հանգույցների պաշտպանության համակարգը:
• « Ներքին հարձակվող»- աշխատող, որը գրանցված է որպես համակարգի օգտատեր, որը նպատակաուղղված է գործել՝ ելնելով եսասիրական շահերից կամ վրեժխնդրությունից ելնելով, հնարավոր է՝ կազմակերպությունում չհանդիսացող անձանց հետ համաձայնությամբ։ Նա կարող է օգտագործել անվտանգության համակարգը խախտելու մեթոդների և միջոցների ամբողջ փաթեթը, ներառյալ մուտքի մանրամասների ձեռքբերման գաղտնի մեթոդները, պասիվ միջոցները (առանց համակարգի բաղադրիչները փոփոխելու գաղտնալսման տեխնիկական միջոցներ), ակտիվ ազդեցության մեթոդներն ու միջոցները ( տեխնիկական միջոցների փոփոխում, տվյալների փոխանցման ալիքներին միացում, ծրագրային էջանիշերի ներդրում և հատուկ գործիքային և տեխնոլոգիական ծրագրերի օգտագործում.), ինչպես նաև ազդեցությունների համակցություն ինչպես ներսից, այնպես էլ հանրային ցանցերից։

Ինսայդեր կարող է լինել անձնակազմի հետևյալ կատեգորիայի անձը.

• AU-ի գրանցված վերջնական օգտվողներ ( ստորաբաժանումների և մասնաճյուղերի աշխատակիցներ);
• աշխատողներին չի թույլատրվում աշխատել AU-ի հետ.
• ատոմակայանի տեխնիկական միջոցները սպասարկող անձնակազմ ( ինժեներներ, տեխնիկներ);
• ծրագրային ապահովման մշակման և սպասարկման բաժինների աշխատակիցներ ( հավելվածների և համակարգի ծրագրավորողներ);
• կազմակերպության շենքերը և տարածքները սպասարկող տեխնիկական անձնակազմ ( հավաքարարներ, էլեկտրիկներ, ջրմուղագործներ և այլ աշխատողներ, ովքեր մուտք ունեն շենքեր և տարածքներ, որտեղ տեղակայված են բարձրախոսների բաղադրիչները);
• տարբեր մակարդակների ղեկավարներ:

• աշխատանքից ազատված աշխատողներ;
• կազմակերպությունների ներկայացուցիչներ, որոնք համագործակցում են կազմակերպության կյանքի ապահովման հարցերի շուրջ ( էներգիա, ջուր, ջերմամատակարարում և այլն։);
• սարքավորումներ, ծրագրային ապահովում, ծառայություններ և այլն մատակարարող ընկերությունների ներկայացուցիչներ.
• հանցավոր կազմակերպությունների անդամներ և մրցակից առևտրային կառույցներ կամ նրանց անունից հանդես եկող անձինք.
• անձինք, ովքեր պատահաբար կամ միտումնավոր մուտք են գործել ցանց արտաքին ցանցերից ( «Հակերներ»).

Աշխատակիցներից օգտվողներն ու սպասարկող անձնակազմն ունեն չարտոնված գործողություններ իրականացնելու ամենամեծ հնարավորությունները՝ շնորհիվ ռեսուրսներ մուտք գործելու իրենց որոշակի իրավասության և տեղեկատվական մշակման տեխնոլոգիայի լավ իմացության: Այս խմբի խախտողների գործողություններն ուղղակիորեն կապված են գործող կանոնների և կանոնակարգերի խախտման հետ։ Օրինախախտների այս խումբը հատկապես վտանգավոր է հանցավոր կառույցների հետ շփվելիս։

Աշխատանքից ազատված աշխատողները կարող են օգտագործել իրենց գիտելիքները աշխատանքային տեխնոլոգիաների, պաշտպանական միջոցների և մուտքի իրավունքների մասին՝ իրենց նպատակներին հասնելու համար:

Քրեական կառույցները արտաքին սպառնալիքների ամենաագրեսիվ աղբյուրն են։ Իրենց ծրագրերն իրականացնելու համար այդ կառույցները կարող են բացահայտորեն խախտել օրենքը և իրենց հասանելի բոլոր ուժերով ու միջոցներով ներգրավել կազմակերպության աշխատակիցներին իրենց գործունեությանը։

Հաքերներն ունեն ամենաբարձր տեխնիկական որակավորումը և գիտելիքները ԱՀ-ում օգտագործվող ծրագրաշարի թույլ կողմերի մասին: Նրանք ամենամեծ սպառնալիքն են ներկայացնում աշխատող կամ աշխատանքից ազատված աշխատողների և հանցավոր կառույցների հետ շփվելիս:

Սարքավորումների և տեղեկատվական համակարգերի մշակմամբ, մատակարարմամբ և վերանորոգմամբ զբաղվող կազմակերպությունները արտաքին վտանգ են ներկայացնում այն ​​պատճառով, որ ժամանակ առ ժամանակ նրանց ուղղակիորեն հասանելի է տեղեկատվական ռեսուրսները: Քրեական կառույցները կարող են օգտագործել այդ կազմակերպությունները իրենց անդամների ժամանակավոր աշխատանքի համար՝ պաշտպանված տեղեկատվության հասանելիություն ստանալու համար։

7. Տեխնիկական քաղաքականություն տեղեկատվական անվտանգության ոլորտում

7.1. Տեխնիկական քաղաքականության հիմնական դրույթները

Տեղեկատվական անվտանգության ոլորտում տեխնիկական քաղաքականության իրականացումը պետք է բխի այն նախադրյալից, որ անհնար է ապահովել տեղեկատվական անվտանգության պահանջվող մակարդակը ոչ միայն մեկի օգնությամբ. առանձին միջոցներ (գործունեություն), այլ նաև դրանց պարզ համադրության օգնությամբ։ Նրանց համակարգային համակարգումը միմյանց հետ անհրաժեշտ է ( բարդ կիրառություն), և մշակվող AU-ի առանձին տարրերը պետք է դիտարկվեն որպես մեկ միասնական մաս տեղեկատվական համակարգհետ պաշտպանված տարբերակով օպտիմալ հարաբերակցությունըտեխնիկական ( ապարատային, ծրագրային ապահովում) միջոցները և կազմակերպչական միջոցառումները.

ԱԷԿ-ի տեղեկատվության անվտանգության ապահովման տեխնիկական քաղաքականության իրականացման հիմնական ուղղություններն են չթույլատրված մուտքի և հատուկ գործողությունների հետևանքով տեղեկատվական ռեսուրսների պաշտպանությունը գողությունից, կորստից, արտահոսքից, ոչնչացումից, աղավաղումից կամ կեղծումից:

Տեղեկատվության անվտանգության ապահովման տեխնիկական քաղաքականության նշված ուղղությունների շրջանակներում իրականացվում են.

• կատարողների ընդունելության թույլտվության համակարգի ներդրում ( օգտագործողներ, սպասարկող անձնակազմգ) գաղտնի բնույթի աշխատանքների, փաստաթղթերի և տեղեկատվության նկատմամբ.
• սահմանափակելով կատարողների և չարտոնված անձանց մուտքը շենքեր և տարածքներ, որտեղ իրականացվում են գաղտնի աշխատանք և գտնվում են տեղեկատվության և հաղորդակցության միջոցները, որոնց վրա ( պահված, փոխանցված) գաղտնի բնույթի տեղեկատվություն՝ ուղղակիորեն տեղեկատվականացման և հաղորդակցության միջոցներին.
• Օգտատերերի և սպասարկող անձնակազմի հասանելիության տարբերակումը տեղեկատվական ռեսուրսներին, ծրագրային ապահովմանը` տեղեկատվության մշակման և պաշտպանության համար` ԱՀ-ում ընդգրկված տարբեր մակարդակների և նպատակների ենթահամակարգերում.
• փաստաթղթերի, տեղեկատվական զանգվածների գրանցում, օգտագործողների և սպասարկող անձնակազմի գործողությունների գրանցում, օգտագործողների, սպասարկող անձնակազմի և չարտոնված անձանց չարտոնված մուտքի և գործողությունների վերահսկում.
• կանխել վիրուսային ծրագրերի, ծրագրային էջանիշերի ներդրումը ավտոմատացված ենթահամակարգերում.
• համակարգչային տեխնոլոգիաների և հաղորդակցությունների միջոցով մշակված և փոխանցված տեղեկատվության ծածկագրային պաշտպանություն.
• Մեքենայի պահպանման կրիչների հուսալի պահպանում, ծածկագրային բանալիներ ( հիմնական տեղեկատվություն) և դրանց շրջանառությունը՝ բացառությամբ գողության, փոխարինման և ոչնչացման.
• տեխնիկական միջոցների անհրաժեշտ ամրագրում և զանգվածների և տեղեկատվության կրիչների կրկնօրինակում.
• ավտոմատացված ենթահամակարգերի տարբեր տարրերի կողմից ստեղծված կեղծ արտանետումների և պիկապների մակարդակի և տեղեկատվական բովանդակության նվազեցում.
• Էլեկտրամատակարարման սխեմաների էլեկտրական մեկուսացում, հիմնավորում և տեղեկատվականացման օբյեկտների այլ սխեմաներ, որոնք դուրս են վերահսկվող տարածքից.
• հակազդեցություն դիտարկման օպտիկական և լազերային միջոցներին.

7.2. Տեղեկատվական անվտանգության ռեժիմի ձևավորում

Հաշվի առնելով ԱԷԿ-ի անվտանգությանը սպառնացող հայտնաբերված վտանգները, տեղեկատվական անվտանգության ռեժիմը պետք է ձևավորվի որպես ԱԷԿ-ում շրջանառվող տեղեկատվությունը և դրա օժանդակ ենթակառուցվածքը բնական կամ արհեստական ​​բնույթի պատահական կամ կանխամտածված ազդեցություններից պաշտպանելու մեթոդների և միջոցառումների մի շարք, որը ենթադրում է. վնասը տեղեկատվության սեփականատերերին կամ օգտագործողներին.

Տեղեկատվական անվտանգության ռեժիմի ձևավորման միջոցառումների համալիրը ներառում է.

• ավտոմատացված համակարգում տեղեկատվական անվտանգության կազմակերպաիրավական ռեժիմի ստեղծում ( կարգավորող փաստաթղթեր, անձնակազմի հետ աշխատանք, գրասենյակային աշխատանք);
• կազմակերպչական և տեխնիկական միջոցառումների իրականացում` տեխնիկական ուղիներով սահմանափակ բաշխված տեղեկատվության արտահոսքից պաշտպանելու համար.
• կազմակերպչական և ծրագրային-տեխնիկական միջոցառումներ՝ կանխելու չարտոնված գործողությունները ( մուտք) ՀԱՄ տեղեկատվական ռեսուրսներին.
• Պատահական կամ կանխամտածված ազդեցություններից հետո սահմանափակ բաշխման տեղեկատվական ռեսուրսների պաշտպանության միջոցների և համակարգերի գործունեությունը վերահսկելու միջոցառումների համալիր:

8. Տեղեկատվական անվտանգության միջոցառումներ, մեթոդներ և միջոցներ

8.1. Կազմակերպչական միջոցառումներ

Կազմակերպչական միջոցառումներ- սրանք կազմակերպչական միջոցառումներ են, որոնք կարգավորում են ԱԷԿ-ի գործունեության գործընթացները, դրանց ռեսուրսների օգտագործումը, տեխնիկական սպասարկման անձնակազմի գործունեությունը, ինչպես նաև համակարգի հետ օգտագործողների փոխգործակցության կարգն այնպես, որ առավել բարդացնեն կամ բացառեն դրա հնարավորությունը: անվտանգության սպառնալիքների իրականացում և դրանց իրականացման դեպքում վնասի չափի նվազեցում:

8.1.1. Անվտանգության քաղաքականության ձևավորում

Կազմակերպչական միջոցառումների հիմնական նպատակն է տեղեկատվական անվտանգության ոլորտում քաղաքականություն ձևավորել՝ արտացոլելով տեղեկատվության պաշտպանության մոտեցումները և ապահովել դրա իրականացումը՝ հատկացնելով անհրաժեշտ ռեսուրսներ և վերահսկելով իրերի վիճակը:

Գործնական տեսանկյունից ԱԷԿ-ի անվտանգության քաղաքականությունը պետք է բաժանել երկու մակարդակի. Վերին մակարդակը ներառում է որոշումներ, որոնք ազդում են կազմակերպության գործունեության վրա որպես ամբողջություն: Նման լուծումների օրինակ կարող է լինել.

• տեղեկատվական անվտանգության համապարփակ ծրագրի ձևավորում կամ վերանայում, դրա իրականացման համար պատասխանատուների որոշում.
• նպատակների ձևակերպում, նպատակների սահմանում, տեղեկատվական անվտանգության ոլորտում գործունեության ոլորտների սահմանում.
• անվտանգության ծրագրի իրականացման վերաբերյալ որոշումներ կայացնելը, որոնք դիտարկվում են կազմակերպության մակարդակով որպես ամբողջություն.
• կարգավորող ( օրինական) անվտանգության հարցերի բազա և այլն:

Ստորին մակարդակի քաղաքականությունը սահմանում է նպատակներին հասնելու և տեղեկատվական անվտանգության խնդիրների լուծման ընթացակարգերն ու կանոնները և մանրամասնում (կարգավորում) այս կանոնները.

• ո՞րն է տեղեկատվական անվտանգության քաղաքականության շրջանակը.
• որո՞նք են տեղեկատվական անվտանգության քաղաքականության իրականացման համար պատասխանատու պաշտոնյաների դերերն ու պարտականությունները.
• ով իրավունք ունի մուտք գործել սահմանափակ տեղեկատվություն.
• ով և ինչ պայմաններում կարող է կարդալ և փոփոխել տեղեկատվությունը և այլն:

Ստորին մակարդակի քաղաքականությունը պետք է.

• ապահովել տեղեկատվական հարաբերությունների կարգավորում՝ բացառելով գաղտնի տեղեկատվական ռեսուրսների հետ կապված կամայական, մենաշնորհային կամ չարտոնված գործողությունների հնարավորությունը.
• սահմանել կոալիցիոն և հիերարխիկ սկզբունքներն ու մեթոդները գաղտնիքների փոխանակման և սահմանափակ տարածման տեղեկատվության հասանելիությունը սահմանազատելու համար.
• ընտրել ծածկագրային պաշտպանության ծրագրային և ապարատային միջոցներ, կեղծումներին հակազդելու, վավերացման, թույլտվության, նույնականացման և այլ պաշտպանիչ մեխանիզմներ, որոնք երաշխիքներ են տալիս տեղեկատվական հարաբերությունների սուբյեկտների իրավունքների և պարտականությունների իրականացման համար:

8.1.2. Տեխնիկական միջոցների հասանելիության կարգավորում

Անվտանգ ավտոմատացված աշխատակայանների և Բանկի սերվերների շահագործումը պետք է իրականացվի հուսալի ավտոմատ փականներով, ահազանգերով և մշտապես հսկվող կամ վերահսկվող սենյակներում՝ բացառելով չարտոնված անձանց տարածքներ անվերահսկելի մուտքի հնարավորությունը և ապահովելով պաշտպանված ռեսուրսների ֆիզիկական անվտանգությունը։ գտնվում է տարածքում ( AWP, փաստաթղթեր, մուտքի մանրամասներ և այլն:): Նման AWP-ների տեխնիկական միջոցների տեղադրումն ու տեղադրումը պետք է բացառի մուտքի տեսողական դիտման հնարավորությունը ( հանված) տեղեկատվություն դրա հետ կապ չունեցող անձանց կողմից: Տարածքների մաքրումը դրանցում տեղադրված սարքավորումներով պետք է իրականացվի պատասխանատու անձի, որին հատկացված են այդ տեխնիկական միջոցները, կամ ստորաբաժանումում հերթապահի ներկայությամբ՝ չլիազորված անձանց մուտքը դեպի տարածք բացող միջոցառումների պահպանմամբ։ պաշտպանված ռեսուրսներ.

Սահմանափակված տեղեկատվության մշակման ընթացքում տարածքներում պետք է ներկա գտնվեն միայն այս տեղեկատվության հետ աշխատելու լիազորված անձնակազմը:

Աշխատանքային օրվա վերջում տեղադրված պաշտպանված AWP-ներով տարածքները պետք է հանձնվեն պաշտպանության տակ:

Գրասենյակային փաստաթղթերը և հաստոցային կրիչները պաշտպանված տեղեկություններով պահելու համար աշխատակիցներին տրամադրվում են մետաղական պահարաններ, ինչպես նաև փաստաթղթեր ոչնչացնելու միջոցներ:

Տեխնիկական միջոցները, որոնք օգտագործվում են գաղտնի տեղեկատվության մշակման կամ պահպանման համար, պետք է կնքված լինեն:

8.1.3. Տեղեկատվական ռեսուրսների օգտագործմանը աշխատողների ընդունելության կանոնակարգում

Ընդունելության թույլատրելի համակարգի շրջանակներում սահմանվում է. մուտքի վերահսկման համակարգ, որը ներառում է AU-ի բոլոր օգտագործողների համար տեղեկատվության և ծրագրային ռեսուրսների սահմանումը, որոնք հասանելի են նրանց հատուկ գործողությունների համար ( կարդալ, գրել, փոփոխել, ջնջել, կատարել) օգտագործելով նշված ծրագրային և ապարատային հասանելիության գործիքները:

Աշխատողների ընդունելությունը ՀԱՀ-ի հետ աշխատելու և նրանց ռեսուրսների հասանելիությունը պետք է խստորեն կարգավորվի: ՀԱՄ ենթահամակարգերից օգտվողների կազմի և լիազորությունների ցանկացած փոփոխություն պետք է կատարվի սահմանված կարգով:

ԱՀ-ում տեղեկատվության հիմնական օգտագործողները կազմակերպության կառուցվածքային ստորաբաժանումների աշխատակիցներն են: Յուրաքանչյուր օգտագործողի իրավասության մակարդակը որոշվում է անհատապես՝ պահպանելով հետևյալ պահանջները.

• բաց և գաղտնի տեղեկատվությունը տեղադրվում է, հնարավորության դեպքում, տարբեր սերվերների վրա.
• յուրաքանչյուր աշխատող օգտագործում է միայն իրեն սահմանված իրավունքները՝ կապված այն տեղեկատվության հետ, որով նա պետք է աշխատի իր աշխատանքային պարտականություններին համապատասխան.
• պետն իրավունք ունի դիտելու իր ենթակաների տեղեկությունները.
• առավել կրիտիկական տեխնոլոգիական գործողությունները պետք է իրականացվեն կանոնի համաձայն «Երկու ձեռքով»- մուտքագրված տեղեկատվության ճիշտությունը հաստատում է մեկ այլ պաշտոնատար անձ, ով իրավունք չունի մուտքագրել տեղեկատվություն:

ԱԷԿ-ում աշխատանքի ընդունված բոլոր աշխատակիցները և ԱԷԿ-ի սպասարկման անձնակազմը պետք է անձնական պատասխանատվություն կրեն տեղեկատվության ավտոմատացված մշակման սահմանված կարգի, իրենց տրամադրության տակ գտնվող համակարգի պահպանվող ռեսուրսների պահպանման, օգտագործման և փոխանցման կանոնների խախտման համար: Աշխատանքի ընդունվելիս յուրաքանչյուր աշխատող պետք է ստորագրի Պարտավորություն գաղտնի տեղեկատվության պահպանման և դրանց խախտման համար պատասխանատվության պահանջներին համապատասխանելու, ինչպես նաև ԱՄ-ում պաշտպանված տեղեկատվության հետ աշխատելու կանոններին համապատասխանության վերաբերյալ:

Պաշտպանված տեղեկատվության մշակումը ԱՀ ենթահամակարգերում պետք է իրականացվի հաստատված տեխնոլոգիական հրահանգներին համապատասխան ( պատվերներ) այս ենթահամակարգերի համար:

Օգտատերերի համար պաշտպանված աշխատատեղերը պետք է մշակվեն անհրաժեշտ տեխնոլոգիական ցուցումներ՝ ներառյալ տեղեկատվության անվտանգության ապահովման պահանջները:

8.1.4. Տվյալների բազաների պահպանման և տեղեկատվական ռեսուրսների փոփոխման գործընթացների կարգավորում

ՀԱՀ-ում տվյալների շտեմարանների պահպանման և այդ տվյալների բազաների հետ աշխատողների ընդունելու բոլոր գործողությունները պետք է խստորեն կարգավորվեն: ՀՄ տվյալների բազաներից օգտվողների կազմի և լիազորությունների ցանկացած փոփոխություն պետք է կատարվի սահմանված կարգով:

Անվանումների բաշխումը, գաղտնաբառերի ստեղծումը, տվյալների բազաների հասանելիության տարբերակման կանոնների պահպանումը վստահված է Տեղեկատվական տեխնոլոգիաների վարչության աշխատակիցներին։ Այս դեպքում կարող են օգտագործվել DBMS-ի և օպերացիոն համակարգերի պաշտպանության ինչպես ստանդարտ, այնպես էլ լրացուցիչ միջոցներ:

8.1.5. Սպասարկման գործընթացների կարգավորում և ապարատային և ծրագրային ռեսուրսների փոփոխում

Համակարգի ռեսուրսները, որոնք պետք է պաշտպանված լինեն ( առաջադրանքներ, ծրագրեր, AWP) ենթակա են խիստ հաշվառման ( համապատասխան ձևերի կամ մասնագիտացված տվյալների բազաների օգտագործման հիման վրա).

Ավտոմատացված աշխատանքային կայանների ապարատային և ծրագրային կազմաձևումը, որոնց վրա մշակվում է պաշտպանված տեղեկատվությունը կամ որոնցից հնարավոր է մուտք գործել պաշտպանված ռեսուրսներ, պետք է համապատասխանի սույն AWS-ի օգտագործողներին վերապահված գործառնական պարտականությունների շրջանակին: Բոլոր չօգտագործված (ավելորդ) տեղեկատվության մուտքային-ելքային սարքերը ( COM, USB, LPT պորտեր, անգործունյա սկավառակի կրիչներ, CD և այլ պահեստային կրիչներ) այդպիսի AWP-ներում պետք է անջատված լինեն (ջնջվեն), պետք է ջնջվեն նաև ավելորդ ծրագրերը և AWS սկավառակների տվյալները:

Պահպանումը, պահպանումը և պաշտպանության կազմակերպումը պարզեցնելու համար աշխատատեղերը պետք է հագեցած լինեն ծրագրային ապահովմամբ և կազմաձևվեն միասնական ձևով ( սահմանված կանոններին համապատասխան).

Նոր AWP-ների գործարկումը և ապարատային և ծրագրային ապահովման, գործող AWP-ների կազմաձևման բոլոր փոփոխությունները կազմակերպության ՀԾ-ում պետք է իրականացվեն միայն սահմանված կարգով:

Ամբողջ ծրագրաշարը ( մշակված կազմակերպության մասնագետների կողմից, ձեռք բերված կամ ձեռք բերված արտադրողներից) սահմանված կարգով պետք է փորձարկվի և փոխանցվի կազմակերպության ծրագրերի դեպոզիտարիա: ՀՄ-ի ենթահամակարգերում պետք է տեղադրվեն և օգտագործվեն միայն դեպոզիտարիայից սահմանված կարգով ստացված ծրագրերը: Պետք է արգելվի ՀԾ-ում ծրագրային ապահովման օգտագործումը, որը ներառված չէ ծրագրային ապահովման պահոցում:

Ծրագրային ապահովման մշակումը, մշակված և գնված ծրագրային ապահովման փորձարկումը, ծրագրային ապահովումը շահագործման հանձնելը պետք է իրականացվի սահմանված կարգով:

8.1.6. Օգտագործողների ուսուցում և կրթություն

Նախքան ԱՄ մուտք ապահովելը, դրա օգտատերերը, ինչպես նաև կառավարման և սպասարկման անձնակազմը պետք է ծանոթ լինեն գաղտնի տեղեկատվության ցանկին և իրավասության մակարդակին, ինչպես նաև պահանջները որոշող կազմակերպչական և վարչական, կարգավորող, տեխնիկական և գործառնական փաստաթղթերին: և նման տեղեկատվության մշակման կարգը:

Տեղեկատվության պաշտպանությունը վերը նշված բոլոր ոլորտներում հնարավոր է միայն այն բանից հետո, երբ օգտվողները մշակեն որոշակի կարգապահություն, այսինքն. նորմեր, որոնք պարտադիր են բոլորի համար, ովքեր աշխատում են ԱՀ-ում: Այս նորմերը ներառում են ցանկացած դիտավորյալ կամ ոչ միտումնավոր գործողությունների արգելում, որոնք խախտում են AU-ի բնականոն գործունեությունը, առաջացնում են լրացուցիչ ռեսուրսների ծախսեր, խախտում են պահպանված և մշակված տեղեկատվության ամբողջականությունը, խախտում են օրինական օգտագործողների շահերը:

Բոլոր աշխատակիցները, ովքեր իրենց աշխատանքի ընթացքում օգտագործում են ԱԷԿ-ի հատուկ ենթահամակարգեր, պետք է ծանոթ լինեն ատոմակայանի պահպանության կազմակերպչական և վարչական փաստաթղթերին իրենց մտահոգության առումով, պետք է իմանան և խստորեն հետևեն տեխնոլոգիական հրահանգներին և ընդհանուր պարտականություններին՝ ապահովելու տեղեկատվության անվտանգությունը: . Պաշտպանված տեղեկատվության մշակման համար ընդունված անձանց այդ փաստաթղթերի պահանջների ներկայացումը պետք է իրականացվի ստորաբաժանումների ղեկավարների կողմից՝ ընդդեմ նրանց ստորագրության:

8.1.7. Պատասխանատվություն տեղեկատվական անվտանգության պահանջների խախտման համար

Կազմակերպության աշխատակիցների կողմից տեղեկատվական անվտանգության պահանջների յուրաքանչյուր լուրջ խախտման դեպքում պետք է անցկացվի ծառայողական քննություն։ Հանցագործների դեմ պետք է ձեռնարկվեն համարժեք միջոցներ. Տեղեկատվության անվտանգ ավտոմատացված մշակումն ապահովելու համար սահմանված կանոնների խախտմամբ կատարված գործողությունների համար անձնակազմի պատասխանատվության աստիճանը պետք է որոշվի պատճառված վնասով, չարամտության առկայությամբ և այլ գործոններով:

Իր գործողությունների համար օգտագործողների անձնական պատասխանատվության սկզբունքն իրականացնելու համար անհրաժեշտ է.

• օգտագործողների անհատական ​​նույնականացում և նրանց կողմից նախաձեռնված գործընթացները, այսինքն. նրանց համար նույնացուցիչի սահմանումը, որի հիման վրա կիրականացվի հասանելիության տարբերակումը` համաձայն մուտքի վավերականության սկզբունքի.
• օգտագործողի նույնականացում ( իսկությունը) հիմնված գաղտնաբառերի, տարբեր ֆիզիկական հիմունքներով ստեղների և այլնի վրա.
• Գրանցում ( ծառահատումներ) տեղեկատվական համակարգի ռեսուրսների հասանելիությունը վերահսկելու մեխանիզմների գործարկում՝ նշելով ամսաթիվը և ժամը, հայցվող և պահանջվող ռեսուրսների նույնացուցիչները, փոխգործակցության տեսակը և դրա արդյունքը.
• արձագանք չարտոնված մուտքի փորձերին ( ահազանգ, արգելափակում և այլն:).

8.2. Պաշտպանության տեխնիկական միջոցներ

Տեխնիկական ( ապարատային և ծրագրային ապահովում) պաշտպանիչ սարքավորումներ՝ տարբեր էլեկտրոնային սարքեր և հատուկ ծրագրերորոնք հանդիսանում են ՀՄ-ի մաս և կատարում են (անկախ կամ այլ միջոցների հետ համատեղ) պաշտպանական գործառույթներ ( օգտատերերի նույնականացում և նույնականացում, ռեսուրսների հասանելիության տարբերակում, իրադարձությունների գրանցում, տեղեկատվության ծածկագրային պաշտպանություն և այլն:).

Ատոմակայանում պաշտպանության բոլոր ոլորտներում տեղեկատվության անվտանգության ապահովման բոլոր պահանջներն ու սկզբունքները հաշվի առնելով՝ պաշտպանության համակարգում պետք է ներառվեն հետևյալ միջոցները.

• օգտագործողների և բարձրախոսների տարրերի իսկությունը հաստատելու միջոցներ ( տերմինալներ, առաջադրանքներ, տվյալների բազայի տարրեր և այլն:) տեղեկատվության և մշակված տվյալների գաղտնիության աստիճանին համապատասխան.
• տվյալների հասանելիության սահմանազատման միջոցներ.
• տվյալների հաղորդման գծերում և տվյալների բազաներում տեղեկատվության ծածկագրային պաշտպանության միջոցներ.
• շրջանառության գրանցման և պաշտպանված տեղեկատվության օգտագործման նկատմամբ վերահսկողության միջոցներ.
• հայտնաբերված կեղծման կամ կեղծման փորձերին արձագանքելու միջոցներ.
• կեղծ արտանետումների և պիկապների մակարդակը և տեղեկատվական բովանդակությունը նվազեցնելու միջոցներ.
• դիտման օպտիկական միջոցներից պաշտպանության միջոցներ.
• պաշտպանություն վիրուսներից և չարամիտ ծրագրերից;
• ինչպես AU տարրերի, այնպես էլ այն տարածքի կառուցվածքային տարրերի էլեկտրական անջատման միջոց, որտեղ գտնվում է սարքավորումը:

Չլիազորված հարձակումներից պաշտպանության տեխնիկական միջոցներին վստահված են հետևյալ հիմնական խնդիրների լուծումը.

• օգտատերերի նույնականացում և նույնականացում՝ օգտագործելով անուններ և (կամ) հատուկ սարքավորում ( Հպեք «Հիշողություն», «Սմարթ քարտ» և այլն:);
• աշխատանքային կայանների ֆիզիկական սարքեր օգտագործողների մուտքի կարգավորում ( սկավառակներ, մուտքային-ելքային պորտեր);
• տրամաբանական կրիչներ, գրացուցակներ և ֆայլեր մուտքի ընտրովի (հայեցողական) վերահսկում.
• աշխատակայանի և ֆայլերի սերվերի վրա պաշտպանված տվյալների հասանելիության հեղինակավոր (պարտադիր) տարբերակում.
• ստեղծելով փակ ծրագրային միջավայրթույլատրվում է գործարկել ծրագրեր, որոնք տեղակայված են ինչպես տեղական, այնպես էլ ցանցային կրիչներում.
• պաշտպանություն համակարգչային վիրուսների և չարամիտ ծրագրերի ներթափանցումից;
• Պաշտպանական համակարգի մոդուլների, սկավառակի համակարգի տարածքների և կամայական ֆայլերի ցուցակների ամբողջականության վերահսկում ավտոմատ ռեժիմով և ադմինիստրատորի հրամաններով.
• օգտագործողների գործողությունների գրանցում պաշտպանված ամսագրում, գրանցման մի քանի մակարդակների առկայություն.
• ֆայլերի սերվերի վրա տվյալների պաշտպանության համակարգի պաշտպանություն բոլոր օգտագործողների, ներառյալ ցանցի ադմինիստրատորի մուտքից.
• ցանցի աշխատանքային կայաններում հասանելիության տարբերակման միջոցների կարգավորումների կենտրոնացված կառավարում.
• Աշխատանքային կայաններում տեղի ունեցող բոլոր խախտումների գրանցում.
• օպերատիվ վերահսկողություն ցանցի օգտագործողների աշխատանքի վրա, փոխելով աշխատանքային կայանների շահագործման ռեժիմները և արգելափակման հնարավորությունը ( Եթե ​​անհրաժեշտ է) ցանցի ցանկացած կայան:

Պաշտպանության տեխնիկական միջոցների հաջող կիրառումը ենթադրում է, որ կազմակերպչական միջոցառումներով և օգտագործվող պաշտպանության ֆիզիկական միջոցներով ապահովվում է հետևյալ պահանջների կատարումը.

• ապահովված է ԱՀ-ի բոլոր բաղադրիչների ֆիզիկական ամբողջականությունը.
• յուրաքանչյուր աշխատող ( համակարգի օգտագործող) ունի համակարգի եզակի անվանում և իր գործառութային պարտականությունների կատարման համար անհրաժեշտ համակարգի ռեսուրսներին մուտք գործելու նվազագույն լիազորություն.
• գործիքային և տեխնոլոգիական ծրագրերի օգտագործումը աշխատատեղերում ( փորձարկման կոմունալ ծառայություններ, վրիպազերծիչներ և այլն:), թույլ տալով կոտրել կամ շրջանցել անվտանգության միջոցները, սահմանափակ և խստորեն կարգավորվում է.
• Պաշտպանված համակարգում ծրագրավորման օգտվողներ չկան, իսկ ծրագրերի մշակումն ու կարգաբերումն իրականացվում է պաշտպանված համակարգից դուրս.
• Սարքավորումների և ծրագրաշարի կազմաձևման բոլոր փոփոխությունները կատարվում են խիստ սահմանված կարգով.
• ցանցային սարքավորում ( հանգույցներ, անջատիչներ, երթուղիչներ և այլն:) գտնվում է օտարների համար անհասանելի վայրերում ( հատուկ սենյակներ, պահարաններ և այլն:);
• տեղեկատվական անվտանգության ծառայությունն իրականացնում է տեղեկատվական անվտանգության գործիքների գործունեության շարունակական կառավարում և վարչական աջակցություն:

8.2.1. Օգտագործողի նույնականացման և նույնականացման գործիքներ

Չլիազորված անձանց մուտքը AU կանխելու համար անհրաժեշտ է ապահովել, որ համակարգը կարող է ճանաչել յուրաքանչյուր օրինական օգտագործողին (կամ օգտվողների սահմանափակ խմբերին): Դա անելու համար համակարգում ( պատսպարված վայրում) պետք է պահի յուրաքանչյուր օգտատիրոջ մի շարք ատրիբուտներ, որոնց միջոցով այս օգտվողը կարող է նույնականացվել: Հետագայում, համակարգ մուտք գործելիս և, անհրաժեշտության դեպքում, համակարգում որոշակի գործողություններ կատարելիս օգտատերը պարտավոր է ինքնությունը բացահայտել, այսինքն. նշեք համակարգում իրեն հատկացված նույնացուցիչը: Բացի այդ, նույնականացման համար կարող են օգտագործվել տարբեր տեսակի սարքեր՝ մագնիսական քարտեր, բանալիների ներդիրներ, անգործունյա սկավառակներ և այլն։

Նույնականացում ( իսկության հաստատում) օգտվողները պետք է իրականացվեն գաղտնաբառերի (գաղտնի բառերի) կամ իսկության ստուգման հատուկ միջոցների հիման վրա յուրահատուկ հատկանիշներ(պարամետրեր) օգտվողներ:

8.2.2. Ավտոմատացված համակարգի ռեսուրսների հասանելիության սահմանազատման միջոցներ

Օգտագործողին ճանաչելուց հետո համակարգը պետք է լիազորի օգտատիրոջը, այսինքն՝ որոշի, թե ինչ իրավունքներ են տրված օգտատիրոջը, այսինքն. ինչ տվյալներ և ինչպես կարող է այն օգտագործել, ինչ ծրագրեր կարող է գործարկել, երբ, որքան ժամանակ և ինչ տերմինալներից կարող է աշխատել, ինչ համակարգային ռեսուրսներ կարող է օգտագործել և այլն: Օգտագործողի թույլտվությունը պետք է իրականացվի՝ օգտագործելով մուտքի վերահսկման հետևյալ մեխանիզմները.

• ընտրովի մուտքի վերահսկման մեխանիզմներ, որոնք հիմնված են ատրիբուտների սխեմաների, թույլտվությունների ցուցակների և այլնի օգտագործման վրա.
• Մուտքի վերահսկման հեղինակավոր մեխանիզմներ, որոնք հիմնված են ռեսուրսների գաղտնիության պիտակների և օգտագործողների մուտքի մակարդակների օգտագործման վրա.
• վստահելի ծրագրաշարի փակ միջավայր ապահովելու մեխանիզմներ ( յուրաքանչյուր օգտատիրոջ համար թույլատրված ծրագրերի ցուցակները՝ անհատական) աջակցվում է օգտատերերի նույնականացման և նույնականացման մեխանիզմներով, երբ նրանք մուտք են գործում համակարգ:

Պաշտպանության հատուկ տեխնիկական միջոցների պատասխանատվության ոլորտները և խնդիրները սահմանվում են՝ ելնելով այդ միջոցների փաստաթղթերում նկարագրված դրանց հնարավորություններից և կատարողական բնութագրերից:

Մուտքի վերահսկման տեխնիկական միջոցները պետք է լինեն մուտքի վերահսկման միասնական համակարգի անբաժանելի մասը.

• դեպի վերահսկվող տարածք;
• առանձին սենյակներում;
• ԱՀ-ի տարրերին և տեղեկատվական անվտանգության համակարգի տարրերին ( ֆիզիկական մուտք);
• ԱՀ-ի ռեսուրսներին ( մաթեմատիկական մուտք);
• դեպի տեղեկատվության պահեստներ ( պահեստավորման միջոցներ, հատորներ, ֆայլեր, տվյալների հավաքածուներ, արխիվներ, հղումներ, գրառումներ և այլն:);
• ակտիվ ռեսուրսներին ( կիրառական ծրագրեր, առաջադրանքներ, հարցումների ձևեր և այլն:);
• օպերացիոն համակարգին, համակարգային ծրագրերին և պաշտպանության ծրագրերին և այլն:

8.2.3. Ծրագրային ապահովման և տեղեկատվական ռեսուրսների ամբողջականության ապահովման և մոնիտորինգի միջոցներ

Ծրագրերի ամբողջականության, մշակված տեղեկատվության և պաշտպանական միջոցների վերահսկումը՝ տրամադրվող մշակման տեխնոլոգիայով որոշված ​​ծրագրային ապահովման միջավայրի անփոփոխությունն ապահովելու և տեղեկատվության չարտոնված ուղղումից պաշտպանություն ապահովելու համար.

• չեկային գումարների հաշվարկման միջոցներ;
• միջոցով էլեկտրոնային ստորագրություն;
• կրիտիկական ռեսուրսները դրանց հիմնական օրինակների հետ համեմատելու միջոցներ ( իսկ ամբողջականության խախտման դեպքում վերականգնում);
• մուտքի վերահսկման միջոցներ ( մուտքի մերժում փոփոխման կամ ջնջման իրավունքով).

Տեղեկատվությունը և ծրագրերը չթույլատրված ոչնչացումից կամ աղավաղումից պաշտպանելու համար անհրաժեշտ է ապահովել.

• համակարգի աղյուսակների և տվյալների կրկնօրինակում;
• սկավառակների վրա տվյալների կրկնօրինակում և արտացոլում;
• գործարքների հետևում;
• ամբողջականության պարբերական հսկողություն օպերացիոն համակարգև օգտագործողի ծրագրեր, ինչպես նաև օգտագործողի ֆայլեր;
• հակավիրուսային պաշտպանություն և վերահսկում;
• տվյալների կրկնօրինակում նախապես հաստատված սխեմայի համաձայն:

8.2.4. Անվտանգության միջոցառումների վերահսկում

Վերահսկողությունը պետք է ապահովի, որ բոլոր իրադարձությունները ( օգտագործողի գործողություններ, չարտոնված անձանց փորձեր և այլն:), ինչը կարող է հանգեցնել անվտանգության քաղաքականության խախտում և հանգեցնել ճգնաժամային իրավիճակների առաջացման։ Վերահսկողությունը պետք է հնարավորություն տա՝

• ցանցի հիմնական հանգույցների և ցանցային կապի սարքավորումների մշտական ​​մոնիտորինգ, ինչպես նաև ցանցի գործունեության հիմնական հատվածներում.
• Օգտագործողների կողմից կորպորատիվ և հանրային ցանցային ծառայությունների օգտագործման վերահսկում.
• անվտանգության միջոցառումների մատյանների պահպանում և վերլուծություն;
• Տեղեկատվական անվտանգությանը սպառնացող արտաքին և ներքին սպառնալիքների ժամանակին հայտնաբերում.

Անվտանգության իրադարձությունները համակարգի գրանցամատյանում գրանցելիս պետք է գրանցվեն հետևյալ տեղեկությունները.

• միջոցառման ամսաթիվը և ժամը;
• առարկայի նույնացուցիչ ( օգտագործող, ծրագիր) գրանցված գործողության կատարումը.
• գործողություն ( եթե մուտքի հարցում գրանցված է, ապա նշված են մուտքի օբյեկտը և տեսակը).

Վերահսկողությունը պետք է ապահովի, որ հայտնաբերվեն և գրանցվեն հետևյալ իրադարձությունները.

• օգտագործողի մուտքը համակարգ;
• օգտագործողի մուտքը ցանց;
• անհաջող մուտք կամ ցանցի փորձ ( սխալ գաղտնաբառ);
• կապ ֆայլերի սերվերի հետ;
• ծրագրի մեկնարկը;
• ծրագրի ավարտը;
• մի ծրագիր սկսելու փորձ, որը հասանելի չէ գործարկման համար.
• անհասանելի գրացուցակ մուտք գործելու փորձ.
• օգտագործողի համար անհասանելի սկավառակից տեղեկատվություն կարդալու/գրելու փորձ.
• օգտագործողի համար անհասանելի սկավառակից ծրագիր գործարկելու փորձ.
• պաշտպանության համակարգի ծրագրերի և տվյալների ամբողջականության խախտում և այլն։

Պետք է աջակցել չարտոնված անձանց հայտնաբերված փաստերին արձագանքելու հետևյալ հիմնական եղանակներին ( հնարավոր է անվտանգության ադմինիստրատորի մասնակցությամբ):

• NSD-ի մասին տեղեկությունների սեփականատիրոջը տեղեկացնել իր տվյալներին.
• ծրագրի չեղարկում ( առաջադրանքներ) հետագա կատարմամբ.
• ծանուցում տվյալների բազայի ադմինիստրատորին և անվտանգության ադմինիստրատորին.
• տերմինալի անջատում ( աշխատանքային կայան) որոնցից NSD-ի կողմից փորձեր են արվել տեղեկատվական կամ անօրինական գործողությունների ցանցում.
• իրավախախտի բացառումը գրանցված օգտվողների ցանկից.
• ազդանշանային ազդանշան և այլն:

8.2.5. Գաղտնագրված տեղեկատվության անվտանգություն

Ատոմակայանի տեղեկատվական անվտանգության համակարգի ամենակարևոր տարրերից մեկը պետք է լինի գաղտնագրման մեթոդների և միջոցների օգտագործումը, որը պաշտպանում է տեղեկատվությունը չթույլատրված մուտքից՝ հաղորդակցության ուղիներով փոխանցելու և համակարգչային կրիչների վրա պահելու ընթացքում:

ԱՀ-ում տեղեկատվության գաղտնագրային պաշտպանության բոլոր միջոցները պետք է հիմնված լինեն հիմնական կրիպտոգրաֆիկ միջուկի վրա: Կազմակերպությունը պետք է ունենա օրենքով սահմանված լիցենզիաներ՝ կրիպտոգրաֆիկ մեդիա օգտագործելու իրավունքի համար:

ԱՄ-ում օգտագործվող կրիպտոգրաֆիկ պաշտպանության միջոցների հիմնական համակարգը պետք է ապահովի կրիպտոգրաֆիկ գոյատևում և բազմամակարդակ պաշտպանություն հիմնական տեղեկատվության խախտման դեմ, օգտագործողների բաժանումն ըստ պաշտպանության մակարդակների և նրանց փոխազդեցության գոտիների միմյանց և այլ մակարդակների օգտագործողների հետ:

Հաղորդակցման ուղիներով տեղեկատվության փոխանցման ընթացքում տեղեկատվության գաղտնիությունը և իմիտացիոն պաշտպանությունը պետք է ապահովվի համակարգում բաժանորդների և կապուղիների գաղտնագրման միջոցների կիրառմամբ: Բաժանորդի և ալիքի տեղեկատվության գաղտնագրման համադրությունը պետք է ապահովի դրա ծայրից ծայր պաշտպանությունը ողջ ճանապարհի երկայնքով, պաշտպանի տեղեկատվությունը դրա սխալ վերահղման դեպքում անջատիչ կենտրոնների ապարատային և ծրագրային ապահովման խափանումների և անսարքությունների պատճառով:

AU-ն, որը բաշխված տեղեկատվական ռեսուրսներով համակարգ է, պետք է օգտագործի նաև էլեկտրոնային ստորագրություններ ստեղծելու և ստուգելու միջոցներ՝ ապահովելու հաղորդագրությունների իսկության ամբողջականությունը և օրինական ապացույցները, ինչպես նաև օգտատերերի, բաժանորդային կայանների իսկությունը և ժամանակի հաստատումը: հաղորդագրություններ ուղարկելու մասին: Այս դեպքում պետք է օգտագործվեն էլեկտրոնային ստորագրության ստանդարտացված ալգորիթմներ:

8.3. Տեղեկատվական անվտանգության կառավարում

ԱԷԿ-ում տեղեկատվական անվտանգության համակարգի կառավարումը նպատակաուղղված ազդեցություն է անվտանգության համակարգի բաղադրիչների վրա ( կազմակերպչական, տեխնիկական, ծրագրային և ծածկագրային) անվտանգության հիմնական սպառնալիքների իրականացման համատեքստում ԱԷԿ-ում շրջանառվող տեղեկատվության անվտանգության պահանջվող ցուցանիշներին ու չափորոշիչներին հասնելու համար։

Տեղեկատվական անվտանգության համակարգի կառավարման կազմակերպման հիմնական նպատակն է բարձրացնել տեղեկատվության պաշտպանության հուսալիությունը դրա մշակման, պահպանման և փոխանցման ընթացքում:

Տեղեկատվական անվտանգության համակարգի կառավարումն իրականացվում է վերահսկման մասնագիտացված ենթահամակարգով, որը վերահսկման մարմինների, տեխնիկական, ծրագրային և կրիպտոգրաֆիկ գործիքների, ինչպես նաև տարբեր մակարդակների կազմակերպչական միջոցառումների և փոխազդեցության վերահսկման կետերի մի շարք է:

Կառավարման ենթահամակարգի գործառույթներն են՝ տեղեկատվական, հսկիչ և օժանդակ։

Տեղեկատվական գործառույթը բաղկացած է պաշտպանության համակարգի վիճակի շարունակական մոնիտորինգից, անվտանգության ցուցիչների համապատասխանությունը թույլատրելի արժեքներին ստուգելուց և անվտանգության օպերատորներին անհապաղ տեղեկացնել ատոմակայանում առաջացող իրավիճակների մասին, որոնք կարող են հանգեցնել տեղեկատվական անվտանգության խախտման: . Պաշտպանական համակարգի վիճակի մոնիտորինգի համար երկու պահանջ կա՝ ամբողջականություն և հուսալիություն: Ամբողջականությունը բնութագրում է պաշտպանության բոլոր միջոցների ծածկույթի աստիճանը և դրանց գործունեության պարամետրերը: Վերահսկողության հուսալիությունը բնութագրում է վերահսկվող պարամետրերի արժեքների համապատասխանության աստիճանը դրանց իրական արժեքին: Վերահսկիչ տվյալների մշակման արդյունքում գեներացվում է պաշտպանության համակարգի վիճակի մասին տեղեկատվություն, որն ընդհանրացվում և փոխանցվում է ավելի բարձր կառավարման կետեր:

Վերահսկիչ գործառույթը բաղկացած է ատոմակայանի տեխնոլոգիական գործողությունների իրականացման պլանների ձևավորումից՝ հաշվի առնելով գերակշռող պայմաններում տեղեկատվական անվտանգության պահանջները: այս պահիժամանակին, ինչպես նաև տեղեկատվության խոցելիության իրավիճակի գտնվելու վայրի որոշման և դրա արտահոսքի կանխարգելման գործում՝ անհապաղ արգելափակելով ԱԷԿ-ի այն հատվածները, որտեղ առաջանում են տեղեկատվական անվտանգության սպառնալիքներ: Վերահսկիչ գործառույթները ներառում են փաստաթղթերի և տեղեկատվության կրիչների, գաղտնաբառերի և բանալիների հաշվառում, պահպանում և տրամադրում: Միաժամանակ գաղտնաբառերի, բանալիների ստեղծում, մուտքի վերահսկման միջոցների պահպանում, ՀԾ ծրագրային միջավայրում ներառված նոր ծրագրային գործիքների ընդունում, ստանդարտին ծրագրային միջավայրի համապատասխանության վերահսկում, ինչպես նաև տեխնոլոգիական Գաղտնի տեղեկատվության մշակման գործընթացը հանձնարարված է տեղեկատվական տեխնոլոգիաների և տնտեսական անվտանգության վարչության աշխատակիցներին:

Վերահսկիչ ենթահամակարգի օժանդակ գործառույթները ներառում են ավտոմատացված համակարգում կատարված բոլոր գործողությունների հաշվառումը պաշտպանված տեղեկատվության հետ, հաշվետվական փաստաթղթերի ձևավորում և վիճակագրական տվյալների հավաքում` տեղեկատվության արտահոսքի հնարավոր ուղիները վերլուծելու և բացահայտելու համար:

8.4. Պաշտպանության համակարգի արդյունավետության մոնիտորինգ

Տեղեկատվության պաշտպանության համակարգի արդյունավետության մշտադիտարկումն իրականացվում է ժամանակին հայտնաբերելու և կանխելու տեղեկատվության արտահոսքը՝ դրան չթույլատրված մուտքի պատճառով, ինչպես նաև կանխելու հնարավոր հատուկ գործողությունները, որոնք ուղղված են տեղեկատվության ոչնչացմանը, տեղեկատվական տեխնոլոգիաների ոչնչացմանը:

Տեղեկատվության պաշտպանության միջոցառումների արդյունավետության գնահատումն իրականացվում է կազմակերպչական, ապարատային և ծրագրային հսկողության միջոցով՝ սահմանված պահանջներին համապատասխանելու համար:

Վերահսկողությունը կարող է իրականացվել ինչպես տեղեկատվական պաշտպանության համակարգի ստանդարտ միջոցների, այնպես էլ հսկողության հատուկ միջոցների և տեխնոլոգիական մոնիտորինգի միջոցով։

8.5. Անձնական տվյալների տեղեկատվական անվտանգության ապահովման առանձնահատկությունները

Անձնական տվյալների դասակարգումն իրականացվում է անձնական տվյալների սուբյեկտի համար անձնական տվյալների անվտանգության հատկությունների կորստի հետևանքների ծանրության համաձայն:

• Անձնական տվյալների մասին «Անձնական տվյալների հատուկ կատեգորիաներին.
• Դաշնային օրենքին համապատասխան դասակարգված անձնական տվյալներ. Անձնական տվյալների մասին «Կենսաչափական անձնական տվյալներին.
• անձնական տվյալներ, որոնք չեն կարող վերագրվել անձնական տվյալների հատուկ կատեգորիաներին, կենսաչափական անձնական տվյալներին, հրապարակայնորեն հասանելի կամ անանուն անձնական տվյալներին.
• Դաշնային օրենքին համապատասխան դասակարգված անձնական տվյալներ. Անձնական տվյալների մասին «Հանրային հասանելի կամ անանուն անձնական տվյալների համար:

Անձնական տվյալների փոխանցումը երրորդ կողմին պետք է իրականացվի Դաշնային օրենքի կամ անձնական տվյալների սուբյեկտի համաձայնության հիման վրա: Այն դեպքում, երբ կազմակերպությունը պայմանագրի հիման վրա վստահում է անձնական տվյալների մշակումը երրորդ կողմին, նման պայմանագրի էական պայմանը երրորդ կողմի պարտավորությունն է՝ ապահովելու անձնական տվյալների գաղտնիությունը և անձնական տվյալների անվտանգությունը։ դրանց մշակման ընթացքում։

Կազմակերպությունը պետք է դադարեցնի անձնական տվյալների մշակումը և ոչնչացնի հավաքագրված անձնական տվյալները, եթե այլ բան նախատեսված չէ Ռուսաստանի Դաշնության օրենսդրությամբ, Ռուսաստանի Դաշնության օրենսդրությամբ սահմանված ժամկետներում հետևյալ դեպքերում.

• վերամշակման նպատակներին հասնելու կամ դրանց հասնելու անհրաժեշտության դեպքում.
• անձնական տվյալների սուբյեկտի կամ Անձնական տվյալների սուբյեկտների իրավունքների պաշտպանության լիազոր մարմնի խնդրանքով - եթե անձնական տվյալները թերի են, հնացած, անարժանահավատ, անօրինական կերպով ձեռք բերված կամ անհրաժեշտ չեն մշակման նշված նպատակի համար.
• երբ անձնական տվյալների սուբյեկտը չեղյալ է հայտարարում իր համաձայնությունը իր անձնական տվյալների մշակմանը, եթե այդպիսի համաձայնությունը պահանջվում է Ռուսաստանի Դաշնության օրենսդրությանը համապատասխան.
• եթե օպերատորի համար անհնար է վերացնել անձնական տվյալների մշակման ընթացքում թույլ տրված խախտումները.

Կազմակերպությունը պետք է սահմանի և փաստաթղթավորի.

• անձնական տվյալների ոչնչացման կարգը ( ներառյալ անձնական տվյալների նյութական կրողները);
• անձնական տվյալների սուբյեկտներից հարցումների մշակման կարգը ( կամ նրանց օրինական ներկայացուցիչները) իրենց անձնական տվյալների մշակման վերաբերյալ.
• Անձնական տվյալների սուբյեկտների իրավունքների պաշտպանության լիազորված մարմնի կամ անձնական տվյալների ոլորտում վերահսկողություն և վերահսկողություն իրականացնող այլ վերահսկող մարմինների պահանջների դեպքում գործողությունների կարգը.
• մոտեցում՝ ԱՀ-ն որպես անձնական տվյալների տեղեկատվական համակարգեր դասակարգելու համար ( Հետագա - ISPDN );
• ISPD ցուցակ. ISPD-ի ցանկը պետք է ներառի ՀԾ, որի ստեղծման և օգտագործման նպատակը անձնական տվյալների մշակումն է:

Յուրաքանչյուր PDIS-ի համար պետք է նույնականացվեն և փաստաթղթավորվեն հետևյալը.

• անձնական տվյալների մշակման նպատակը.
• մշակված անձնական տվյալների ծավալը և բովանդակությունը.
• անձնական տվյալների հետ գործողությունների ցանկը և դրանց մշակման մեթոդները:

Անձնական տվյալների ծավալը և բովանդակությունը, ինչպես նաև անձնական տվյալների մշակման գործողությունների և մեթոդների ցանկը պետք է համապատասխանեն մշակման նպատակներին: Այն դեպքում, երբ տեղեկատվական տեխնոլոգիական գործընթացի իրականացման համար, որի իրականացմանն աջակցում է ISPD-ն, որոշակի անձնական տվյալների մշակման կարիք չկա, այդ անձնական տվյալները պետք է ջնջվեն:

ISPDN-ում անձնական տվյալների անվտանգության ապահովման պահանջները հիմնականում իրականացվում են կազմակերպչական, տեխնոլոգիական, տեխնիկական և ծրագրային միջոցների, տեղեկատվության պաշտպանության միջոցների և մեխանիզմների համալիրի միջոցով:

Իրականացման կազմակերպում և ( կամԱնձնական տվյալների անվտանգության ապահովման պահանջների կատարումը պետք է իրականացվի կազմակերպության կառուցվածքային ստորաբաժանման կամ պաշտոնատար անձի (աշխատողի) կողմից, որը պատասխանատու է անձնական տվյալների անվտանգության ապահովման համար, կամ պայմանագրային հիմունքներով կազմակերպությունը՝ կոնտրագենտը. Գաղտնի տեղեկատվության տեխնիկական պաշտպանություն ապահովելու լիցենզիա ունեցող կազմակերպության:

Կազմակերպության ISPD-ի ստեղծումը պետք է ներառի մշակումը և հաստատումը ( հայտարարություն) ստեղծվող համակարգի համար նախատեսված կազմակերպչական, վարչական, նախագծային և գործառնական փաստաթղթերը. Փաստաթղթերը պետք է արտացոլեն մշակված անձնական տվյալների անվտանգության ապահովման խնդիրները։

Հայեցակարգերի, տեխնիկական բնութագրերի, նախագծման, ստեղծման և փորձարկման, ISPD-ի ընդունումն ու գործարկումը մշակելը պետք է իրականացվի կառուցվածքային ստորաբաժանման կամ անձնական տվյալների անվտանգության ապահովման համար պատասխանատու պաշտոնյայի (աշխատողի) համաձայնությամբ և վերահսկողության ներքո:

Կազմակերպության ISPD-ին պատկանող բոլոր տեղեկատվական ակտիվները պետք է պաշտպանված լինեն ազդեցությունից վնասակար կոդ... Կազմակերպությունը պետք է որոշի և փաստաթղթավորի հակավիրուսային պաշտպանության միջոցով անձնական տվյալների անվտանգության ապահովման պահանջները և այդ պահանջների կատարման մոնիտորինգի կարգը:

Կազմակերպությունը պետք է ունենա մուտքի վերահսկման համակարգ, որը վերահսկում է մուտքը դեպի կապի նավահանգիստներ, մուտքային/ելքային սարքեր, շարժական մեքենաների կրիչներ և արտաքին կրիչներտեղեկատվություն ISPDN.

Կազմակերպության ISPD գործող և սպասարկող ստորաբաժանումների ղեկավարներն ապահովում են անձնական տվյալների անվտանգությունը ISPDN-ում դրանց մշակման ընթացքում:

ISPDN-ում անձնական տվյալներ մշակող աշխատակիցները պետք է գործեն հրահանգներին համապատասխան ( ուղեցույց, կանոնակարգ և այլն:), որը հանդիսանում է ISPD-ի գործառնական փաստաթղթերի մաս և համապատասխանում է IS-ի ապահովման փաստաթղթերի պահանջներին:

Պաշտպանական միջոցների և պաշտպանության մեխանիզմների կառավարման պարտականությունները, որոնք իրականացնում են կազմակերպության IS ISPD-ի ապահովման պահանջները, նշանակված են հրամաններով ( պատվերներ) տեղեկատվական տեխնոլոգիաների վարչության մասնագետների մասին.

Տեղեկատվական տեխնոլոգիաների վարչության մասնագետների և անձնական տվյալների մշակման մեջ ներգրավված անձնակազմի կարգը պետք է որոշվի հրահանգներով ( ուղեցույցներ), որոնք պատրաստվել են ISPD մշակողի կողմից որպես ISPD-ի գործառնական փաստաթղթերի մաս:

Նշված հրահանգները ( ղեկավարությունը):

• սահմանել տեղեկատվական անվտանգության ոլորտում անձնակազմի որակավորման պահանջներ, ինչպես նաև պահպանվող օբյեկտների արդի ցանկ և դրա թարմացման կանոններ.
• պարունակում է լիովին համապատասխան ( ժամանակով) օգտվողների իրավունքների մասին տվյալներ.
• պարունակել տվյալներ տեղեկատվության մշակման տեխնոլոգիայի վերաբերյալ տեղեկատվական անվտանգության մասնագետի համար անհրաժեշտ չափով.
• սահմանել իրադարձությունների մատյանների վերլուծության կարգը և հաճախականությունը ( տեղեկամատյանների արխիվները);
• կարգավորել այլ գործողություններ:

Տեղեկատվական տեխնոլոգիաների վարչության մասնագետների պատասխանատվության ոլորտում օգտագործվող պաշտպանական միջոցների և տեղեկատվության կեղծումից պաշտպանելու մեխանիզմների կազմաձևման պարամետրերը որոշվում են ISPD-ի գործառնական փաստաթղթերում: Տեղադրված կոնֆիգուրացիայի պարամետրերի ստուգման կարգը և հաճախականությունը սահմանվում են գործառնական փաստաթղթերում կամ կարգավորվում ներքին փաստաթղթով, մինչդեռ ստուգումները պետք է կատարվեն առնվազն տարին մեկ անգամ:

Կազմակերպությունը պետք է որոշի և փաստաթղթավորի այն տարածքներ մուտք գործելու կարգը, որտեղ գտնվում են ISPDN-ի տեխնիկական միջոցները և պահվում են անձնական տվյալների կրիչները՝ նախատեսելով չլիազորված անձանց տարածք մուտքի վերահսկում և արգելքների առկայությունը։ մուտքը տարածք. Նշված ընթացակարգը պետք է մշակվի կառուցվածքային ստորաբաժանման կամ պաշտոնատար անձի կողմից ( աշխատող), պատասխանատու է ֆիզիկական անվտանգության ռեժիմի ապահովման համար և համաձայնեցված է կառուցվածքային ստորաբաժանման կամ պաշտոնատար անձի կողմից ( աշխատող), պատասխանատու է անձնական տվյալների անվտանգության ապահովման համար, և Տնտեսական անվտանգության վարչությունը։

ISPD-ի օգտատերերը և սպասարկող անձնակազմը չպետք է իրականացնեն չարտոնված և ( կամ) չգրանցված ( անվերահսկելի) անձնական տվյալների պատճենումը. Այդ նպատակով կազմակերպչական և տեխնիկական միջոցները պետք է արգելեն չարտոնված և ( կամ) չգրանցված ( անվերահսկելի) անձնական տվյալների պատճենում, ներառյալ օտարված ( փոխարինելի) պահեստային մեդիա, շարժական սարքեր՝ տեղեկատվության պատճենման և փոխանցման համար, կապի պորտեր և տարբեր ինտերֆեյսներ իրականացնող մուտքային/ելքային սարքեր ( ներառյալ անլար), շարժական սարքերի պահեստավորման սարքեր ( օրինակ՝ դյուրակիր համակարգիչներ, գրպանային անհատական ​​համակարգիչներ, սմարթֆոններ, Բջջային հեռախոսները ), ինչպես նաև ֆոտո և վիդեո սարքեր։

Անձնական անվտանգության հսկողությունն իրականացվում է տեղեկատվական անվտանգության մասնագետի կողմից ինչպես տեղեկատվական պաշտպանության համակարգի ստանդարտ միջոցների, այնպես էլ հատուկ հսկողության միջոցների և տեխնոլոգիական մոնիտորինգի միջոցով։

Բեռնել ZIP ֆայլ (65475)

Փաստաթղթերը հարմար եղան՝ դրեք «like» կամ.

Եթե ​​կա սպառնալիք, պետք է լինեն պաշտպանության և հակազդելու մեթոդներ։... Մեթոդները հանձնարարված առաջադրանքներին հասնելու միջոցներն են և գաղտնի տեղեկատվության պաշտպանության համար ուժերի կիրառման մեթոդների կարգը:

Ենթագիտակցության վրա մարդու գործողության սկզբունքը նախատեսված է հասնելու համար դրական արդյունքներ... Տեղեկատվական անվտանգության ոլորտում մասնագետների փորձը բավականին հստակ սահմանել է տեղեկատվական անվտանգության կամ տեղեկատվության հուսալիության երաշխավորմանն ուղղված միջոցների, ուժերի և տեխնիկայի ամբողջությունը:

Տեղեկատվության հուսալիության կամ տեղեկատվական անվտանգության ապահովումը ձեռք է բերվում հետևյալ գործողություններով, որոնք ուղղված են.

• Սպառնալիքների բացահայտումն արտահայտվում է պոտենցիալ կամ իրական սպառնալիքների թույլատրելի երևույթների կանոնավոր վերլուծությամբ և վերահսկմամբ, ինչպես նաև դրանց կանխարգելման ժամանակին միջոցներով.
• Սպառնալիքների կանխարգելումն իրականացվում է տեղեկատվական անվտանգության կամ տեղեկատվության հուսալիության ապահովման միջոցով՝ հօգուտ ակտիվորեն և դրանց առաջացման.
  վտանգների հայտնաբերում ռիսկերի վերլուծությամբ;
• Սպառնալիքների կամ հանցավոր գործողությունների վերացմանն ուղղված միջոցառումների ներառում և հանցավոր արարքների տեղայնացում.
• Սպառնալիքների բացահայտումն իրականացվում է կոնկրետ հանցավոր գործողությունների և իրական սպառնալիքների բացահայտմամբ.
• սպառնալիքների և հանցավոր կոնկրետ գործողությունների հետ կապված հետևանքների վերացում. Ստատուս քվոյի վերականգնում (նկ. 1):

Տեղեկատվության պաշտպանության մեթոդներ.

• խոչընդոտ - միջոց, որը ֆիզիկապես թույլ չի տալիս հարձակվողին գործել կարևոր տեղեկատվության վրա
• մուտքի վերահսկում - տեղեկատվության պաշտպանության միջոց՝ կարգավորելով ՏՏ-ում ՏՏ-ի բոլոր ռեսուրսների օգտագործումը: Նման մեթոդները պետք է պաշտպանեն տեղեկատվությունից
• Գաղտնագրման ալգորիթմներ - մեթոդներն իրականացվում են ինչպես տեղեկատվության պահպանման, այնպես էլ մշակման ժամանակ: Տեղեկատվություն փոխանցելիս սա պաշտպանության հիմնական և միակ մեթոդն է
• Կարգավորումը տեղեկատվական համակարգում տեղեկատվության պահպանման և մշակման համար պայմանների ստեղծումն է, որի ներքո առավելագույնս կիրառվում են պաշտպանության ստանդարտներն ու նորմերը:
• Հարկադրանքը պաշտպանության միջոց է, որն օգտատերերին ստիպում է պահպանել տեղեկատվական համակարգում աշխատանքի կանոնները
• Խրախուսանքը պաշտպանության միջոց է, որը խրախուսում է տեղեկատվական համակարգի օգտատերերին չխախտել կանոնները՝ ելնելով էթիկական և բարոյական չափանիշներից:
• Սարքավորումներ - սարքեր, որոնք ներկառուցված են հաշվողական մեխանիզմների մեջ կամ միացված են միջերեսների միջոցով
• ֆիզիկական միջոցներ - տարբեր ինժեներական կառույցներ, որոնք պաշտպանում են անձնակազմը, տեղեկատվությունը, սարքերը, իրերը ներխուժողներից
• Ծրագրային ապահովում՝ ծրագրային ապահովում, որը ներդրված է տեղեկատվական համակարգում՝ պաշտպանություն իրականացնելու համար
• Կազմակերպչական գործիքներ - ձեռք են բերվում կարգավորող փաստաթղթերի հիման վրա, որոնք կարգավորում են աշխատողների աշխատանքը այնպես, որ իրականացնեն տեղեկատվական համակարգի առավելագույն պաշտպանությունը:

Անօրինական գործողությունների և հնարավոր գործողությունների կանխարգելումը կարող է իրականացվել տարբեր միջոցներով և միջոցներով՝ սկսած աշխատողների միջև կազմակերպչական մեթոդներով հարաբերությունների պահպանումից մինչև ապարատային, ֆիզիկական, ծրագրային և մեթոդներով պաշտպանություն (կամ կամ): Սպառնալիքների կանխարգելումը հնարավոր է նաև նախապատրաստական ​​գործողությունների, նախապատրաստված գործողությունների, պլանավորված գողության և հանցավոր գործողությունների այլ տարրերի մասին տեղեկություններ ստանալու փուլում։ Նման նպատակների համար անհրաժեշտ է տարբեր առաջադրանքներ ունեցող գործողության տարբեր ոլորտների տեղեկատուների հետ։ Ոմանք դիտարկում և օբյեկտիվ գնահատական ​​են տալիս ստեղծված իրավիճակին։ Մյուսները չափում են աշխատողների հարաբերությունները թիմի ներսում ձեռնարկության տարբեր անկյուններում: Մյուսները դեռ աշխատում են հանցավոր խմբերի և մրցակիցների միջև:

Նկար 1

Սպառնալիքները կանխելու համար տեղեկատվական և վերլուծական անվտանգության ծառայության գործունեությունը շատ կարևոր դեր է խաղում հատուկ իրավիճակի վերլուծության և հարձակվողների և մրցակիցների գործունեության վրա: Եթե ​​դուք մուտք ունեք ինտերնետ, ապա անվտանգության ծառայություն: Եվ նաև կամ.

Տվյալների բացահայտումից պաշտպանությունը կրճատվում է ձեռնարկությունում առևտրային գաղտնիք հանդիսացող տեղեկատվության կատալոգի ստեղծմամբ: Տեղեկատվության այս կատալոգը պետք է հաղորդվի ձեռնարկության յուրաքանչյուր աշխատակցին՝ այս աշխատակցին այս գաղտնիքը պահելու գրավոր պարտավորությամբ: Կարևոր գործողություններից է առևտրային գաղտնիքների ամբողջականության և գաղտնիության պահպանման վերահսկման համակարգը։

Գաղտնի տեղեկատվության պաշտպանություն արտահոսքի աշխատանքներից հաշվառման, կոնկրետ իրավիճակներում արտահոսքի հավանական ուղիների հայտնաբերման և վերահսկման հիման վրա, ինչպես նաև դրանց ոչնչացման համար տեխնիկական, կազմակերպչական, կազմակերպչական և տեխնիկական միջոցառումների իրականացում:

Գաղտնի տեղեկատվության պաշտպանությունը չարտոնված մուտքից գործում է չլիազորված մուտքին դիմակայելու համար տեխնիկական, կազմակերպչական, կազմակերպչական և տեխնիկական ընթացակարգերի իրականացման հիման վրա: Ինչպես նաև չթույլատրված մուտքի և վերլուծության մեթոդների վերահսկում:

Գործնականում բոլոր գործողությունները որոշ չափով օգտագործում են տեխնիկական, և դրանք բաժանվում են երեք խմբի (նկ. 2).

• կազմակերպչական (տեխնիկական միջոցների ոլորտում);
• տեխնիկական.
• կազմակերպչական և տեխնիկական;

Նկար 2

Պաշտպանական գործողությունների հղում

Պաշտպանական աշխատանքները, ինչպես նաև տեղեկատվական անվտանգության պահպանման տեխնիկան և ընթացակարգերը դասակարգվում են ըստ բնութագրերի և պաշտպանության օբյեկտների, որոնք բաժանվում են հետևյալ պարամետրերի.

Ըստ կողմնորոշման՝ պաշտպանական մեթոդները կարող են դասակարգվել որպես գործողություններ, անձնակազմի, ֆինանսական և նյութական ակտիվների և տեղեկատվության պաշտպանության դասընթաց՝ որպես հիմնադրամ:

Մեթոդներով - սա հայտնաբերում է (օրինակ:) կամ նախազգուշացում, հայտնաբերում, ճնշում և վերականգնում:

Ուղղություններով՝ սա օրինական մեթոդների, կազմակերպչական և ինժեներատեխնիկական գործողությունների վրա հիմնված պաշտպանություն է։

Ծածկույթի առումով պաշտպանիչ սարքավորումները կարող են ուղղված լինել ձեռնարկության պարագծի, առանձին սենյակների, շենքերի, սարքավորումների հատուկ խմբերի, տեխնիկական միջոցների և համակարգերի պաշտպանությանը, առանձին տարրեր(տներ, տարածքներ, սարքավորումներ) վտանգավոր են դրանց չարտոնված մուտքի տեսանկյունից.

Տեղեկատվության պատճառ կարող են լինել մարդիկ, թափոնները, տեխնիկական միջոցները և այլն։ Տեղեկատվության կրիչները կարող են լինել ակուստիկ և էլեկտրամագնիսական դաշտեր կամ նյութեր (արտադրանք, թուղթ, նյութ): Տարածման միջավայրը դաժան միջավայրն է կամ օդային տարածքը:

Հանցագործը կարող է ունենալ էլեկտրամագնիսական և ակուստիկ էներգիա ստանալու բոլոր անհրաժեշտ միջոցները, օդային հսկողություն և տեղեկատվական ներկայացման նյութերը վերլուծելու կարողություն:

Տեղեկատվության ներկայացում իրական ձևերով: Գաղտնի տեղեկատվության ապօրինի առգրավումը բացառելու համար դուք պետք է մշակեք ազդանշանը կամ տեղեկատվության աղբյուրը խուլ կամ գաղտնագրման այլ միջոցներով:

Տեղեկատվական ցանցերի (կամ) և ԱՀ-ների օգտագործման և բաշխման տեմպերի աճով մեծանում է տարբեր գործոնների դերը, որոնք առաջացնում են բացահայտում, արտահոսք և տեղեկատվության չարտոնված մուտք: Սրանք:

• սխալներ;
• աշխատակիցների և օգտատերերի չարամիտ կամ չարտոնված վարքագիծը.
• ապարատային լռելյայն կամ ծրագրերի սխալներ;
• բնական աղետներ, տարբեր ծագման և վտանգների վթարներ.
• օգտագործողի և անձնակազմի սխալներ;
• սխալներ ժամը.

Այս առումով տեղեկատվության պաշտպանության հիմնական նպատակները տեղեկատվական ցանցերիսկ համակարգիչը հետևյալն է.

• տեղեկատվության արտահոսքի և կորուստների, միջամտության և գաղտնալսման կանխարգելում ազդեցության բոլոր մակարդակներում, աշխարհագրորեն առանձնացված բոլոր օբյեկտների համար.
• օգտատերերի իրավունքների և առնչվող իրավական նորմերի ապահովում ՄՈՒՏՔտեղեկատվության և այլ ռեսուրսների նկատմամբ, որոնք ներառում են տեղեկատվական գործունեության վարչական վերանայում, ներառյալ՝ աշխատանքային ռեժիմներին և օգտագործման կանոններին հետևելու համար անձնական պատասխանատվության գործողությունները.

Նկար 3

եզրակացություններ

1. Տեղեկատվության հավաստիության կամ անվտանգության ապահովումն իրականացվում է կազմակերպչական, տեխնիկական և կազմակերպչական-տեխնիկական ընթացակարգերով, որոնցից որևէ մեկը տրամադրվում է յուրահատուկ մեթոդներով, միջոցներով և համապատասխան պարամետրերով:

2. Բազմաթիվ գործողություններ և պայմաններ, որոնք նպաստում են գաղտնի տվյալների անօրինական կամ անօրինական յուրացմանը, ստիպում են օգտագործել ոչ պակաս բազմազան մեթոդներ, միջոցներ, ուժեր և ապահովել տեղեկատվության անվտանգությունը կամ հուսալիությունը:

3. Տեղեկատվության պաշտպանության հիմնական խնդիրն է երաշխավորել տեղեկատվական ռեսուրսների գաղտնիությունը, ամբողջականությունը և բավարարությունը: Եվ նաև այն ներմուծել համակարգ։

4. Տեղեկատվության պաշտպանության ապահովման մեթոդները պետք է ուղղված լինեն առևտրային գաղտնիքներին սպառնացող հնարավոր սպառնալիքների կանխարգելման ակտիվ ուղիներին ուղղված գործողությունների ակտիվ խառնվածքին:

Տեղեկատվական անվտանգությունԻնչպես տեղեկատվության պաշտպանությունը, անվտանգության ապահովմանն ուղղված բարդ խնդիր է, որն իրականացվում է անվտանգության համակարգի ներդրմամբ։ Տեղեկատվության պաշտպանության խնդիրը բազմաբնույթ է և բարդ և ընդգրկում է մի շարք կարևոր խնդիրներ։ Տեղեկատվական անվտանգության խնդիրները մշտապես սրվում են տվյալների մշակման և փոխանցման տեխնիկական միջոցների ներթափանցմամբ հասարակության բոլոր ոլորտներ և, առաջին հերթին, համակարգչային համակարգեր:

Մինչ օրս երեք հիմնական սկզբունքներըոր տեղեկատվական անվտանգությունը պետք է ապահովի.

տվյալների ամբողջականություն - պաշտպանություն անսարքություններից, որոնք հանգեցնում են տեղեկատվության կորստի, ինչպես նաև պաշտպանություն տվյալների չարտոնված ստեղծումից կամ ոչնչացումից.

տեղեկատվության գաղտնիություն;

Համակարգչային համակարգերի մշակման ժամանակ, որոնց շահագործման մեջ խափանումները կամ սխալները կարող են հանգեցնել լուրջ հետևանքների, առաջնային են դառնում համակարգչային անվտանգության խնդիրները։ Հայտնի են բազմաթիվ միջոցառումներ, որոնք ուղղված են համակարգչային անվտանգության ապահովմանը, որոնցից հիմնականներն են տեխնիկական, կազմակերպչական և իրավական։

Տեղեկատվության անվտանգության ապահովումը թանկ է ոչ միայն անվտանգության միջոցների գնման կամ տեղադրման ծախսերի պատճառով, այլ նաև այն պատճառով, որ դժվար է հմտորեն սահմանել ողջամիտ անվտանգության սահմանները և ապահովել, որ համակարգը պահպանվի և աշխատի համապատասխանաբար:

Անվտանգության առանձնահատկությունները չեն կարող նախագծվել, գնել կամ տեղադրվել, քանի դեռ չի կատարվել համապատասխան վերլուծություն:

Կայքը վերլուծում է տեղեկատվական անվտանգությունը և դրա տեղը ազգային անվտանգության համակարգում, բացահայտում տեղեկատվական ոլորտում կենսական շահերը և դրանց սպառնացող վտանգները։ Դիտարկվում են տեղեկատվական պատերազմի, տեղեկատվական զենքի, տեղեկատվական անվտանգության ապահովման սկզբունքները, հիմնական խնդիրներն ու գործառույթները, տեղեկատվական անվտանգության ապահովման պետական ​​համակարգի գործառույթները, տեղեկատվական անվտանգության ոլորտում ներքին և արտաքին չափանիշները։ Զգալի ուշադրություն է դարձվում նաև տեղեկատվական անվտանգության իրավական խնդիրներին։

Դիտարկվում են նաև տվյալների պաշտպանության ավտոմատացված համակարգերում (ASOD), տեղեկատվության պաշտպանության առարկան և օբյեկտները, ASOD-ում տեղեկատվության պաշտպանության խնդիրները: Դիտարկվում են ASOD-ում անվտանգության կանխամտածված սպառնալիքների տեսակները և տեղեկատվության պաշտպանության մեթոդները: Օգտագործողների իսկությունը հաստատելու և նրանց հասանելիությունը տարբերակելու մեթոդներ և միջոցներ համակարգչային ռեսուրսներ, սարքավորումների մուտքի վերահսկում, պարզ և դինամիկ փոփոխվող գաղտնաբառերի օգտագործում, սխեմայի փոփոխման մեթոդներ պարզ գաղտնաբառեր, ֆունկցիոնալ մեթոդներ.

Տեղեկատվական անվտանգության համակարգի կառուցման հիմնական սկզբունքները.

Օբյեկտի համար տեղեկատվական անվտանգության համակարգ կառուցելիս պետք է առաջնորդվել հետևյալ սկզբունքներով.

Տեղեկատվական անվտանգության համակարգի կատարելագործման և զարգացման գործընթացի շարունակականությունը, որը բաղկացած է տեղեկատվության պաշտպանության առավել ռացիոնալ մեթոդների, մեթոդների և ուղիների արդարացումից և կիրառումից, շարունակական մոնիտորինգից, խոչընդոտների և թույլ կողմերի և տեղեկատվության արտահոսքի և չարտոնված մուտքի հնարավոր ուղիների հայտնաբերումից:

Տեղեկատվության արտադրության և մշակման բոլոր փուլերում առկա պաշտպանության միջոցների ողջ զինանոցի համապարփակ օգտագործումը: Միևնույն ժամանակ, կիրառվող բոլոր գործիքները, մեթոդները և միջոցները համակցված են մեկ միասնական մեխանիզմի մեջ՝ տեղեկատվական անվտանգության համակարգում:

Պաշտպանության մեխանիզմների գործողության մոնիտորինգ, թարմացում և լրացում` կախված հնարավոր ներքին և արտաքին սպառնալիքների փոփոխություններից:

Օգտատերերը պատշաճ կերպով պատրաստված են և հետևում են գաղտնիության պահպանման բոլոր կանոններին: Առանց այս պահանջը բավարարելու, տեղեկատվական անվտանգության ոչ մի համակարգ չի կարող ապահովել պաշտպանության անհրաժեշտ մակարդակը:

Ամենակարևոր պայմանըԱնվտանգության ապահովումն են օրինականությունը, բավարարությունը, անհատի և ձեռնարկության շահերի հավասարակշռության պահպանումը, անձնակազմի և ղեկավարության փոխադարձ պատասխանատվությունը, փոխգործակցությունը պետական ​​իրավապահ մարմինների հետ:

10) տեղեկատվական անվտանգության կառուցման փուլերը

Շինարարության փուլերը.

1. Տեղեկատվական համակարգի համապարփակ վերլուծություն

ձեռնարկություններ տարբեր մակարդակներում: Ռիսկի վերլուծություն.

2. Կազմակերպչական և վարչական և

կարգավորող փաստաթղթեր.

3. Ուսուցում, մասնագիտական ​​զարգացում և

մասնագետների վերապատրաստում.

4. Տեղեկատվության վիճակի տարեկան վերագնահատում

ձեռնարկության անվտանգություն

11) Firewall

Firewalls և հակավիրուսային փաթեթներ:

Firewall-ը (երբեմն կոչվում է firewall) օգնում է բարելավել ձեր համակարգչի անվտանգությունը: Այն սահմանափակում է այլ համակարգիչներից համակարգիչ ստացվող տեղեկատվությունը, ինչը թույլ է տալիս ավելի լավ վերահսկել համակարգչի տվյալները և ապահովել համակարգչի պաշտպանության գիծը մարդկանց կամ ծրագրերից (ներառյալ վիրուսներն ու որդերը), որոնք չարտոնված փորձում են միանալ համակարգչին: Մտածեք firewall-ը որպես սահմանային կետ, որը ստուգում է ինտերնետից եկող տեղեկատվությունը (հաճախ կոչվում է տրաֆիկ): տեղական ցանց... Այս ստուգման ժամանակ firewall-ը մերժում է կամ թույլ է տալիս համակարգչին տեղեկատվություն տրամադրել՝ ըստ նշված պարամետրերի:

Ինչի՞ց է պաշտպանում firewall-ը:

Firewall ՄԱՅԻՍ.

1. Արգելափակել համակարգչային վիրուսների և «ճիճուների» մուտքը համակարգիչ:

2. Խնդրեք օգտվողին ընտրել՝ արգելափակել կամ թույլ տալ կապի կոնկրետ հարցումներ:

3. Պահպանեք գրառումներ (անվտանգության մատյան) - օգտագործողի խնդրանքով - գրանցելով համակարգչին միանալու թույլատրված և արգելափակված փորձերը:

Ինչի՞ց չի պաշտպանում firewall-ը:

Նա չի կարող:

1. Հայտնաբերել կամ չեզոքացնել համակարգչային վիրուսներն ու «ճիճուները», եթե դրանք արդեն մտել են համակարգիչ։

3. Արգելափակել սպամի կամ չարտոնված նամակագրությունների մուտքը ձեր մուտքի արկղ:

ՍԱՐՔԱՎՈՐԱԿԱՆ ԵՎ ԾՐԱԳՐԱՅԻՆ ՖԻՐՎԱԼՆԵՐ

Սարքավորման firewalls- առանձին սարքեր, որոնք շատ արագ են, հուսալի, բայց շատ թանկ, ուստի դրանք սովորաբար օգտագործվում են միայն խոշոր համակարգչային ցանցերը պաշտպանելու համար: Տնային օգտատերերի համար երթուղղիչների, անջատիչների, անլար մուտքի կետերի և այլնի մեջ ներկառուցված firewalls-ները օպտիմալ են: Համակցված երթուղիչ-firewall-ները կրկնակի պաշտպանություն են ապահովում հարձակումներից:

Ծրագրային ապահովման firewallանվտանգության ծրագիր է։ Սկզբունքորեն, այն նման է ապարատային firewall-ին, բայց այն ավելի հարմար է օգտագործողի համար. այն ունի ավելի շատ նախադրվածներ և հաճախ ունի կախարդներ, որոնք կօգնեն ձեզ կարգավորել: Նրա օգնությամբ դուք կարող եք թույլատրել կամ մերժել այլ ծրագրերի մուտքը ինտերնետ:

Հակավիրուսային ծրագիր (հակավիրուսային)- համակարգչային վիրուսների հայտնաբերման, ինչպես նաև ընդհանրապես անցանկալի (չարամիտ համարվող) ծրագրերի հայտնաբերման և նման ծրագրերով վարակված (փոփոխված) ֆայլերի վերականգնման, ինչպես նաև կանխարգելման համար՝ կանխարգելելու ֆայլերի կամ օպերացիոն համակարգի վարակումը (փոփոխումը) վնասակար կոդ.

12) հաշվողական համակարգերի դասակարգում

Կախված բաժանորդային համակարգերի տարածքային դիրքից

Համակարգչային ցանցերը կարելի է բաժանել երեք հիմնական դասի.

գլոբալ ցանցեր (WAN - Wide Area Network);

տարածաշրջանային ցանցեր (MAN - Metropolitan Area Network);

Տեղական ցանցեր (LAN - Local Area Network):

Հիմնական LAN տոպոլոգիաներ

LAN տոպոլոգիան ցանցային հանգույցների միացումների երկրաչափական դիագրամ է։

Համակարգչային ցանցերի տոպոլոգիաները կարող են շատ տարբեր լինել, բայց

տեղական ցանցերի համար բնորոշ են միայն երեքը.

Մատանի,

Աստղաձեւ։

Ցանկացած համակարգչային ցանց կարելի է համարել որպես հավաքածու

Հանգույց- ուղղակիորեն միացված ցանկացած սարք

ցանցի փոխանցման միջոցը.

Օղակաձեւ տոպոլոգիանախատեսում է ցանցային հանգույցների միացում փակ կորով՝ փոխանցման միջին մալուխով։ Մի հոսթի ելքը միացված է մյուսի մուտքին: Օղակի մասին տեղեկատվությունը փոխանցվում է հանգույցից հանգույց: Յուրաքանչյուր միջանկյալ հանգույց հաղորդչի և ստացողի միջև փոխանցում է ուղարկված հաղորդագրությունը: Ստացող հանգույցը ճանաչում և ընդունում է միայն իրեն ուղղված հաղորդագրությունները:

Օղակաձեւ տոպոլոգիան իդեալական է ցանցերի համար, որոնք համեմատաբար քիչ տարածք են զբաղեցնում: Այն չունի կենտրոնական հանգույց, ինչը մեծացնում է ցանցի հուսալիությունը։ Տեղեկատվության վերահաղորդումը թույլ է տալիս օգտագործել ցանկացած տեսակի մալուխներ որպես փոխանցման միջոց:

Նման ցանցի հանգույցների սպասարկման հետևողական կարգապահությունը նվազեցնում է դրա կատարումը, իսկ հանգույցներից մեկի ձախողումը խախտում է օղակի ամբողջականությունը և պահանջում է հատուկ միջոցներ՝ պահպանելու տեղեկատվության փոխանցման ուղին:

Ավտոբուսային տոպոլոգիա- ամենապարզներից մեկը: Այն կապված է կոաքսիալ մալուխի օգտագործման հետ՝ որպես փոխանցման միջոց: Հաղորդող ցանցի հանգույցի տվյալները տարածվում են ավտոբուսի երկայնքով երկու ուղղություններով: Միջանկյալ հանգույցները մուտքային հաղորդագրություններ չեն հեռարձակում: Տեղեկատվությունը հասնում է բոլոր հանգույցներին, բայց հաղորդագրության միջոցով ստացվում է միայն այն, որին այն ուղղված է: Ծառայության կարգապահությունը զուգահեռ է.

Սա ապահովում է բարձր արդյունավետությամբ ավտոբուսի LAN: Ցանցը հեշտ է ընդլայնել և կարգավորել, ինչպես նաև հարմարվել տարբեր համակարգերին: Ավտոբուսային տոպոլոգիայի ցանցը դիմացկուն է հնարավոր անսարքություններառանձին հանգույցներ.

Ավտոբուսային տոպոլոգիայի ցանցերը ներկայումս ամենատարածվածն են: Հարկ է նշել, որ դրանք կարճ են և թույլ չեն տալիս տարբեր տեսակի մալուխների օգտագործումը նույն ցանցում։

Աստղային տոպոլոգիահիմնված է կենտրոնական հանգույցի գաղափարի վրա, որին միացված են ծայրամասային հանգույցները: Յուրաքանչյուր ծայրամասային հանգույց ունի իր առանձին հաղորդակցման գիծը կենտրոնական հանգույցի հետ: Ամբողջ տեղեկատվությունը փոխանցվում է կենտրոնական հանգույցի միջոցով, որը փոխանցում է, անջատում և ուղղորդում տեղեկատվական հոսքերը ցանցում:

Աստղաձև տոպոլոգիան զգալիորեն հեշտացնում է LAN հանգույցների փոխազդեցությունը միմյանց հետ, թույլ է տալիս օգտագործել ավելի պարզ ցանցային ադապտերներ... Միևնույն ժամանակ, աստղային տոպոլոգիայով LAN-ի աշխատանքը լիովին կախված է կենտրոնական կայքից:

Իրական համակարգչային ցանցերում կարող են օգտագործվել ավելի առաջադեմ տոպոլոգիաներ, որոնք որոշ դեպքերում ներկայացնում են դիտարկվածների համակցությունները:

Որոշակի տոպոլոգիայի ընտրությունը որոշվում է LAN-ի կիրառման տարածքով, նրա հանգույցների աշխարհագրական դիրքով և որպես ամբողջություն ցանցի չափսերով:

Համացանց- Համաշխարհային տեղեկատվական համակարգչային ցանց, որը բազմաթիվ տարածաշրջանային համակարգչային ցանցերի և համակարգիչների միավորումն է, որոնք միմյանց հետ փոխանակում են տեղեկատվություն հանրային հեռահաղորդակցության ուղիներով (նվիրված հեռախոսային անալոգային և թվային գծեր, օպտիկական կապի ալիքներ և ռադիոալիքներ, ներառյալ արբանյակային կապի գծեր):

ISP- ցանցային ծառայությունների մատակարար` անձ կամ կազմակերպություն, որը ծառայություններ է մատուցում համակարգչային ցանցերին միանալու համար:

Հյուրընկալող (անգլերեն host-ից - «հյուրընկալող հյուրեր ընդունող»)- ցանկացած սարք, որը ծառայություններ է մատուցում «հաճախորդ-սերվեր» ձևաչափով սերվերի ռեժիմում ցանկացած ինտերֆեյսների վրա և եզակիորեն սահմանված է այդ ինտերֆեյսների վրա: Ավելի կոնկրետ դեպքում հոսթ կարելի է հասկանալ որպես տեղական կամ գլոբալ ցանցին միացված ցանկացած համակարգիչ կամ սերվեր:

Ցանցային արձանագրություն- կանոնների և գործողությունների մի շարք (գործողությունների հաջորդականություն), որը թույլ է տալիս միացում և տվյալների փոխանակում ցանցին միացված երկու կամ ավելի սարքերի միջև:

IP հասցե (IP-հասցե, անգլերեն ինտերնետային արձանագրության հասցեի հապավումը)- եզակի ցանցի հասցենհանգույց՝ IP-ով կառուցված համակարգչային ցանցում: Համացանցում պահանջվում են համաշխարհային եզակի հասցեներ. լոկալ ցանցում աշխատանքի դեպքում անհրաժեշտ է ցանցի ներսում հասցեի եզակիությունը: IPv4 տարբերակում IP հասցեն 4 բայթ է:

Տիրույթի անունը- խորհրդանշական անուն, որն օգնում է գտնել ինտերնետային սերվերների հասցեները:

13) Հավասարակից առաջադրանքներ

Չլիազորված մուտքից պաշտպանվելու որոնվածը ներառում է տեղեկատվական համակարգ նույնականացման, իսկորոշման և մուտքի վերահսկման միջոցառումներ:

Նույնականացումը առարկաներին մուտք գործելու եզակի նույնացուցիչների նշանակումն է:

Սա ներառում է RFID պիտակներ, կենսաչափական տեխնոլոգիաներ, մագնիսական քարտեր, ունիվերսալ մագնիսական բանալիներ, մուտքեր և այլն:

Նույնականացում - ստուգում, որ մուտքի առարկան պատկանում է ներկայացված նույնացուցիչին և հաստատում է դրա իսկությունը:

Նույնականացման ընթացակարգերը ներառում են գաղտնաբառեր, փին կոդեր, խելացի քարտեր, USB ստեղներ, թվային ստորագրություններ, նստաշրջանի բանալիներ և այլն: Նույնականացման և նույնականացման միջոցների ընթացակարգային մասը փոխկապակցված է և, ըստ էության, ներկայացնում է տեղեկատվական անվտանգության ապահովման բոլոր ծրագրային ապահովման և սարքավորումների հիմնական հիմքը, քանի որ մնացած բոլոր ծառայությունները նախատեսված են տեղեկատվական համակարգի կողմից ճիշտ ճանաչված հատուկ սուբյեկտների սպասարկման համար: Ընդհանրապես, նույնականացումը սուբյեկտին թույլ է տալիս նույնականացնել իրեն տեղեկատվական համակարգի համար, և իսկականացման օգնությամբ տեղեկատվական համակարգը հաստատում է, որ սուբյեկտն իսկապես այնպիսին է, ինչպիսին ինքն է պնդում: Այս գործողության անցման հիման վրա կատարվում է տեղեկատվական համակարգ մուտք ապահովելու գործողություն: Մուտքի վերահսկման ընթացակարգերը թույլ են տալիս լիազորված սուբյեկտներին կատարել կանոնակարգով թույլատրված գործողություններ, իսկ տեղեկատվական համակարգին՝ վերահսկելու այդ գործողությունները՝ արդյունքի ճշտության և ճշտության համար: Մուտքի վերահսկումը թույլ է տալիս համակարգին թաքցնել օգտվողների այն տվյալները, որոնց նրանք մուտք չունեն:

Ծրագրային ապահովման և ապարատային պաշտպանության հաջորդ միջոցը տեղեկատվության գրանցումն ու աուդիտն է:

Գրանցամատյանը ներառում է տեղեկատվության հավաքագրում, կուտակում և պահպանում տեղեկատվական համակարգի գործունեության ընթացքում տեղի ունեցած իրադարձությունների, գործողությունների, արդյունքների, առանձին օգտագործողների, գործընթացների և ձեռնարկության տեղեկատվական համակարգը կազմող բոլոր ծրագրերի և սարքավորումների մասին:

Քանի որ տեղեկատվական համակարգի յուրաքանչյուր բաղադրիչ ունի ծրագրավորված դասակարգիչներին համապատասխան հնարավոր իրադարձությունների կանխորոշված ​​շարք, իրադարձությունները, գործողությունները և արդյունքները բաժանվում են.

• արտաքին, որը պայմանավորված է այլ բաղադրիչների գործողություններով,
• ներքին, որը պայմանավորված է հենց բաղադրիչի գործողություններով,
• հաճախորդի կողմից, որը պայմանավորված է օգտատերերի և ադմինիստրատորների գործողություններով:

Տեղեկատվական աուդիտը բաղկացած է իրական ժամանակում կամ տվյալ ժամանակահատվածում գործառնական վերլուծություն իրականացնելուց:

Վերլուծության արդյունքների հիման վրա կա՛մ ստեղծվում է հաշվետվություն տեղի ունեցած իրադարձությունների վերաբերյալ, կա՛մ նախաձեռնվում է արտակարգ իրավիճակի ավտոմատ արձագանք:

Հատումների և աուդիտի իրականացումը լուծում է հետևյալ խնդիրները.

• օգտատերերին և ադմինիստրատորներին հաշվետու պահելը.
• իրադարձությունների հաջորդականությունը վերակառուցելու ունակության ապահովում.
• տեղեկատվական անվտանգության խախտման փորձերի հայտնաբերում.
• տեղեկատվության տրամադրում խնդիրները բացահայտելու և վերլուծելու համար:

Տեղեկատվության պաշտպանությունը հաճախ անհնար է առանց գաղտնագրման միջոցների օգտագործման: Դրանք օգտագործվում են գաղտնագրման, ամբողջականության վերահսկման և նույնականացման ծառայությունների շահագործումն ապահովելու համար, երբ նույնականացման միջոցները պահպանվում են օգտագործողի կողմից կոդավորված ձևով: Գոյություն ունեն գաղտնագրման երկու հիմնական մեթոդ՝ սիմետրիկ և ասիմետրիկ:

Ամբողջականության վերահսկումը թույլ է տալիս հաստատել օբյեկտի իսկությունը և նույնականությունը, որը տվյալների զանգված է, տվյալների առանձին հատվածներ, տվյալների աղբյուր, ինչպես նաև ապահովել, որ համակարգում կատարվող գործողությունը հնարավոր չէ նշել զանգվածով: տեղեկատվության։ Ամբողջականության վերահսկման իրականացումը հիմնված է տվյալների փոխակերպման տեխնոլոգիաների վրա՝ օգտագործելով կոդավորումը և թվային վկայականները:

Մյուսները կարևոր ասպեկտՊաշտպանության օգտագործումը, տեխնոլոգիա, որը թույլ է տալիս սահմանազատելով սուբյեկտների մուտքը տեղեկատվական ռեսուրսներին, վերահսկել բոլոր տեղեկատվական հոսքերը ձեռնարկության տեղեկատվական համակարգի և արտաքին օբյեկտների, տվյալների զանգվածների, սուբյեկտների և հակասուբյեկտների միջև: Հոսքի կառավարումը բաղկացած է դրանք զտելուց և, անհրաժեշտության դեպքում, փոխանցված տեղեկատվության փոխակերպումից:

Պաշտպանության խնդիրն է պաշտպանել ներքին տեղեկատվությունը պոտենցիալ թշնամական արտաքին գործոններից և սուբյեկտներից: Պաշտպանության իրականացման հիմնական ձևն են տարբեր տեսակի և ճարտարապետության firewalls կամ firewalls:

Քանի որ տեղեկատվական անվտանգության նշաններից մեկը տեղեկատվական ռեսուրսների առկայությունն է, մատչելիության բարձր մակարդակի ապահովումը կարևոր ուղղություն է ծրագրային և ապարատային միջոցառումների իրականացման գործում: Մասնավորապես, բաժանվում են երկու ոլորտներ՝ սխալների հանդուրժողականության ապահովում, այսինքն. չեզոքացնել համակարգի խափանումները, սխալների դեպքում աշխատելու ունակությունը և ապահովել անվտանգ և արագ վերականգնումանհաջողություններից հետո, այսինքն. համակարգի սպասարկելիությունը.

Տեղեկատվական համակարգերի հիմնական պահանջն այն է, որ դրանք միշտ աշխատեն տվյալ արդյունավետությամբ, անհասանելիության նվազագույն ժամանակով և արձագանքման արագությամբ։

Համապատասխանաբար, տեղեկատվական ռեսուրսների առկայությունը ապահովվում է.

• կառուցվածքային ճարտարապետության օգտագործումը, ինչը նշանակում է, որ անհրաժեշտության դեպքում առանձին մոդուլները կարող են անջատվել կամ արագ փոխարինվել՝ առանց տեղեկատվական համակարգի այլ տարրերի վնասելու.
• անսարքությունների հանդուրժողականության ապահովում՝ օժանդակ ենթակառուցվածքի ինքնավար տարրերի կիրառմամբ, ծրագրային ապահովման և սարքաշարի կազմաձևման մեջ ավելորդ հզորության ներդրմամբ, ապարատային ավելորդությամբ, համակարգում տեղեկատվական ռեսուրսների կրկնօրինակմամբ, Պահպանեք պատճենըտվյալներ և այլն։
• սպասարկելիության ապահովում՝ խափանումների և դրանց հետևանքների ախտորոշման և վերացման ժամկետների կրճատմամբ։

Անվտանգ կապի ուղիները տեղեկատվական անվտանգության մեկ այլ տեսակի գործիքներ են:

Տեղեկատվական համակարգերի գործունեությունը անխուսափելիորեն կապված է տվյալների փոխանցման հետ, հետևաբար ձեռնարկությունների համար անհրաժեշտ է նաև ապահովել փոխանցված տեղեկատվական ռեսուրսների պաշտպանությունը՝ օգտագործելով անվտանգ հաղորդակցման ուղիները: Բաց կապի ուղիներով երթևեկություն փոխանցելիս տվյալների չարտոնված մուտքի հնարավորությունը պայմանավորված է դրանց հանրային հասանելիությամբ: Քանի որ «իրենց ողջ երկարությամբ հաղորդակցությունները չեն կարող ֆիզիկապես պաշտպանված լինել, ուստի ավելի լավ է սկզբում ելնել դրանց խոցելիության ենթադրությունից և, համապատասխանաբար, ապահովել պաշտպանություն»: Դրա համար օգտագործվում են թունելային տեխնոլոգիաներ, որոնց էությունը տվյալների ամփոփումն է, այսինքն. փաթեթավորել կամ փաթեթավորել փոխանցված տվյալների փաթեթները, ներառյալ սպասարկման բոլոր հատկանիշները, իրենց սեփական ծրարներում: Համապատասխանաբար, թունելը անվտանգ կապ է բաց կապի ուղիների միջոցով, որոնցով գաղտնագրված պաշտպանված տվյալների փաթեթները փոխանցվում են: Թունելավորումն օգտագործվում է երթևեկության գաղտնիությունն ապահովելու համար՝ թաքցնելով ծառայության տեղեկատվությունը և ապահովելով փոխանցված տվյալների գաղտնիությունն ու ամբողջականությունը, երբ դրանք օգտագործվում են տեղեկատվական համակարգի գաղտնագրային տարրերի հետ միասին: Թունելի և գաղտնագրման համադրությունը հնարավորություն է տալիս իրականացնել VPN: Այս դեպքում թունելների վերջնակետերը, որոնք իրականացնում են վիրտուալ մասնավոր ցանցեր, firewalls են, որոնք ծառայում են կազմակերպությունների միացմանը արտաքին ցանցերին:

Firewall-երը որպես վիրտուալ մասնավոր ցանցային ծառայությունների իրականացման կետեր

Այսպիսով, թունելավորումը և գաղտնագրումը լրացուցիչ փոխակերպումներ են, որոնք կատարվում են ցանցային տրաֆիկի զտման գործընթացում հասցեների թարգմանության հետ մեկտեղ: Թունելների ծայրերը, բացի կորպորատիվ firewalls-ից, կարող են լինել աշխատակիցների անձնական և շարժական համակարգիչներ, ավելի ճիշտ՝ նրանց անձնական firewalls և firewalls։ Այս մոտեցման շնորհիվ ապահովվում է անվտանգ կապի ուղիների գործունեությունը։

Տեղեկատվական անվտանգության ընթացակարգեր

Տեղեկատվական անվտանգության ընթացակարգերը սովորաբար տարբերվում են վարչական և կազմակերպչական մակարդակներում:

• Վարչական ընթացակարգերը ներառում են կազմակերպության ղեկավարության կողմից ձեռնարկվող ընդհանուր գործողությունները՝ տեղեկատվական անվտանգության ապահովման և պահպանման ոլորտում բոլոր աշխատանքները, գործողությունները, գործառնությունները կարգավորելու համար, որոնք իրականացվում են անհրաժեշտ ռեսուրսների բաշխմամբ և ձեռնարկված միջոցառումների արդյունավետության մոնիտորինգով:
• Կազմակերպչական մակարդակը ներկայացնում է տեղեկատվության անվտանգության ապահովման ընթացակարգեր, ներառյալ անձնակազմի կառավարումը, ֆիզիկական պաշտպանությունը, ապարատային և ծրագրային ենթակառուցվածքի աշխատունակության պահպանումը, անվտանգության խախտումների անհապաղ վերացումը և վերականգնման աշխատանքների պլանավորումը:

Մյուս կողմից, վարչական և կազմակերպչական ընթացակարգերի միջև տարբերությունն անիմաստ է, քանի որ մի մակարդակի ընթացակարգերը չեն կարող գոյություն ունենալ մյուսից առանձին՝ դրանով իսկ խախտելով պաշտպանության փոխկապակցվածությունը։ ֆիզիկական շերտ, անձնական և կազմակերպչական պաշտպանություն տեղեկատվական անվտանգության հայեցակարգում: Գործնականում, կազմակերպության տեղեկատվական անվտանգությունն ապահովելիս, վարչական կամ կազմակերպչական ընթացակարգերը չեն անտեսվում, հետևաբար ավելի տրամաբանական է դրանք դիտարկել որպես ինտեգրված մոտեցում, քանի որ երկու մակարդակներն էլ ազդում են տեղեկատվության պաշտպանության ֆիզիկական, կազմակերպչական և անձնական մակարդակների վրա:

Տեղեկատվական անվտանգության ապահովման համալիր ընթացակարգերի հիմքը անվտանգության քաղաքականությունն է։

Տեղեկատվական անվտանգության քաղաքականություն

Տեղեկատվական անվտանգության քաղաքականությունԿազմակերպությունում դա կազմակերպության ղեկավարության կողմից ընդունված փաստաթղթավորված որոշումների մի շարք է և ուղղված է տեղեկատվության և հարակից ռեսուրսների պաշտպանությանը:

Կազմակերպչական և կառավարչական առումով տեղեկատվական անվտանգության քաղաքականությունը կարող է լինել մեկ փաստաթուղթ կամ կազմվել մի քանի անկախ փաստաթղթերի կամ հրամանների տեսքով, բայց ամեն դեպքում պետք է ներառի կազմակերպության տեղեկատվական համակարգի պաշտպանության հետևյալ ասպեկտները.

• Տեղեկատվական համակարգի օբյեկտների, տեղեկատվական ռեսուրսների և դրանց հետ անմիջական գործողությունների պաշտպանություն.
• համակարգում տեղեկատվության մշակման հետ կապված բոլոր գործողությունների պաշտպանությունը, ներառյալ մշակման ծրագրակազմը.
• կապի ալիքների պաշտպանություն, ներառյալ լարային, ռադիո, ինֆրակարմիր, ապարատային և այլն;
• ապարատային համալիրի պաշտպանություն գրավի էլեկտրամագնիսական ճառագայթումից.
• անվտանգության կառավարում, ներառյալ սպասարկում, արդիականացում և վարչական գործողություններ:

Յուրաքանչյուր ասպեկտ պետք է մանրամասն նկարագրվի և փաստաթղթավորվի կազմակերպության ներքին փաստաթղթերում: Ներքին փաստաթղթերը ներառում են անվտանգության գործընթացի երեք մակարդակ՝ վերին, միջին և ստորին:

Տեղեկատվական անվտանգության քաղաքականության բարձր մակարդակի փաստաթղթերը արտացոլում են կազմակերպության հիմնական մոտեցումը սեփական տեղեկատվության պաշտպանության և ազգային և/կամ միջազգային չափանիշներին համապատասխանելու հարցում: Գործնականում կազմակերպությունն ունի միայն մեկ վերին մակարդակի փաստաթուղթ՝ «Տեղեկատվական անվտանգության հայեցակարգ», «Տեղեկատվական անվտանգության կանոնակարգեր» և այլն: Ֆորմալ առումով այդ փաստաթղթերը գաղտնի արժեք չունեն, դրանց տարածումը սահմանափակված չէ, սակայն դրանք կարող են տպագրվել ներքին օգտագործման և բաց հրապարակման համար:

Միջին մակարդակի փաստաթղթերը խիստ գաղտնի են և վերաբերում են կազմակերպության տեղեկատվական անվտանգության հատուկ ասպեկտներին. օգտագործվող տեղեկատվական անվտանգության գործիքներ, տվյալների բազայի անվտանգություն, հաղորդակցություն, գաղտնագրման գործիքներ և կազմակերպության այլ տեղեկատվական և տնտեսական գործընթացներ: Փաստաթղթերն իրականացվում են ներքին տեխնիկական և կազմակերպչական ստանդարտների տեսքով:

Ստորին մակարդակի փաստաթղթերը բաժանվում են երկու տեսակի՝ աշխատանքային կանոնակարգեր և գործառնական հրահանգներ: Աշխատանքային կանոնակարգերը խիստ գաղտնի են և նախատեսված են միայն այն անձանց համար, ովքեր հերթապահություն են իրականացնում անհատական ​​տեղեկատվական անվտանգության ծառայությունների կառավարման վրա: Գործառնական հրահանգները կարող են լինել կամ գաղտնի կամ հրապարակային. դրանք նախատեսված են կազմակերպության անձնակազմի համար և նկարագրում են կազմակերպության տեղեկատվական համակարգի առանձին տարրերի հետ աշխատելու կարգը:

Համաշխարհային փորձը ցույց է տալիս, որ տեղեկատվական անվտանգության քաղաքականությունը միշտ փաստաթղթավորվում է միայն խոշոր ընկերություններում, որոնք ունեն զարգացած տեղեկատվական համակարգ, որը պահանջում է տեղեկատվական անվտանգության բարձր պահանջներ, միջին ձեռնարկություններն ամենից հաճախ ունեն միայն մասամբ փաստաթղթավորված տեղեկատվական անվտանգության քաղաքականություն, փոքր կազմակերպությունները ճնշող մեծամասնություն ունեն: թքած ունենալ անվտանգության քաղաքականության փաստաթղթավորման վրա: Անկախ նրանից, թե փաստաթղթավորման ձևաչափը ամբողջական է, թե բաշխված, անվտանգության ռեժիմը հիմնական կողմն է:

Կան երկու տարբեր մոտեցումներ, որոնք հիմք են կազմում տեղեկատվական անվտանգության քաղաքականություն:

1. «Ամեն ինչ, որ արգելված չէ, թույլատրելի է».
2. «Արգելվում է այն ամենը, ինչ չի կարելի».

Առաջին մոտեցման հիմնարար թերությունն այն է, որ գործնականում անհնար է կանխատեսել բոլոր վտանգավոր դեպքերը և արգելել դրանք։ Կասկածից վեր է, որ պետք է կիրառել միայն երկրորդ մոտեցումը։

Տեղեկատվական անվտանգության կազմակերպչական մակարդակ

Տեղեկատվության պաշտպանության տեսանկյունից տեղեկատվական անվտանգության ապահովման կազմակերպչական ընթացակարգերը ներկայացվում են որպես «արտադրական գործունեության և կատարողների հարաբերությունների կարգավորում իրավական հիմքի վրա, որը բացառում կամ էապես բարդացնում է գաղտնի տեղեկատվության անօրինական ձեռքբերումը և ներքին և դրսևորումը: արտաքին սպառնալիքները»։

Տեղեկատվական անվտանգության ապահովման նպատակով անձնակազմի հետ աշխատանքի կազմակերպմանն ուղղված անձնակազմի կառավարման միջոցառումները ներառում են պարտականությունների տարանջատում և արտոնությունների նվազեցում: Պարտականությունների տարանջատումը նախատեսում է իրավասությունների և պատասխանատվության ոլորտների բաշխում, որտեղ մեկ անձ ի վիճակի չէ խանգարել կազմակերպության համար կարևոր գործընթացին: Սա նվազեցնում է սխալի և չարաշահումների հավանականությունը: Արտոնությունների նվազագույնի հասցնելը նախատեսում է օգտվողներին տրամադրել միայն մուտքի այն մակարդակը, որը համապատասխանում է նրանց պաշտոնական պարտականությունները կատարելու անհրաժեշտությանը: Սա նվազեցնում է պատահական կամ դիտավորյալ սխալ վարքագծի վնասը:

Ֆիզիկական պաշտպանություն նշանակում է շենքերի անմիջական պաշտպանության միջոցների մշակում և ընդունում, որոնցում տեղակայված են կազմակերպության տեղեկատվական ռեսուրսները, հարակից տարածքները, ենթակառուցվածքի տարրերը, համակարգիչները, տվյալների կրիչները և ապարատային հաղորդակցման ուղիները: Սա ներառում է մուտքի ֆիզիկական հսկողություն, հրդեհային պաշտպանություն, օժանդակ ենթակառուցվածքների պաշտպանություն, տվյալների գաղտնալսման պաշտպանություն և շարժական համակարգերի պաշտպանություն:

Ծրագրային ապահովման և ապարատային ենթակառուցվածքի գործունակության պահպանումը բաղկացած է ստոխաստիկ սխալների կանխարգելումից, որոնք սպառնում են վնասել ապարատային համալիրը, ծրագրերի անսարքությունը և տվյալների կորուստը: Այս առումով հիմնական ուղղություններն են՝ տրամադրել օգտատերերի և ծրագրային ապահովման աջակցություն, կոնֆիգուրացիայի կառավարում, կրկնօրինակում, մեդիա կառավարում, փաստաթղթավորում և կանխարգելիչ աշխատանք:

Անվտանգության խախտումների արագ վերացումը երեք հիմնական նպատակ ունի.

1. Միջադեպի տեղայնացում և պատճառված վնասի նվազեցում.
2. Հանցագործի նույնականացում;
3. Կրկնվող խախտումների կանխարգելում.

Վերջապես, վերականգնման պլանավորումը թույլ է տալիս պատրաստվել դժբախտ պատահարներին, նվազեցնել դրանցից հասցված վնասը և նվազագույնի հասցնել գործելու կարողությունը:

Ծրագրային ապահովման և ապարատային և անվտանգ հաղորդակցման ուղիների օգտագործումը կազմակերպությունում պետք է իրականացվի տեղեկատվական անվտանգության ապահովման բոլոր վարչական և կազմակերպչական կարգավորող ընթացակարգերի մշակման և հաստատման ինտեգրված մոտեցման հիման վրա: Հակառակ դեպքում, որոշակի միջոցների ընդունումը չի երաշխավորում տեղեկատվության պաշտպանությունը, և հաճախ, ընդհակառակը, հրահրում է գաղտնի տեղեկատվության արտահոսք, կարևոր տվյալների կորուստ, ապարատային ենթակառուցվածքի վնաս և կազմակերպության տեղեկատվական համակարգի ծրագրային բաղադրիչների խափանում:

Տեղեկատվության անվտանգության մեթոդներ

Ժամանակակից ձեռնարկությունների համար հատկանշական է բաշխված տեղեկատվական համակարգը, որը թույլ է տալիս հաշվի առնել ընկերության բաշխված գրասենյակները և պահեստները, ֆինանսական հաշվառումը և կառավարման հսկողությունը, հաճախորդների բազայից ստացված տեղեկատվությունը, հաշվի առնելով նմուշը ըստ ցուցանիշների և այլն: . Այսպիսով, տվյալների հավաքածուն շատ նշանակալից է, և ճնշող մեծամասնությունում այն ​​տեղեկատվությունն է, որն առաջնահերթ նշանակություն ունի ընկերության համար առևտրային և տնտեսական առումներով: Փաստորեն, կոմերցիոն արժեք ունեցող տվյալների գաղտնիության ապահովումը ընկերությունում տեղեկատվական անվտանգության ապահովման հիմնական խնդիրներից է։

Ձեռնարկությունում տեղեկատվական անվտանգության ապահովումպետք է կարգավորվի հետևյալ փաստաթղթերով.

1. Տեղեկատվական անվտանգության կանոնակարգեր. Այն ներառում է տեղեկատվական անվտանգության ապահովման նպատակների և խնդիրների ձևակերպումը, տեղեկատվական անվտանգության գործիքների ներքին կանոնակարգերի ցանկը և ընկերության բաշխված տեղեկատվական համակարգի կառավարման կանոնակարգը: Կանոնակարգերի հասանելիությունը սահմանափակվում է կազմակերպության ղեկավարությամբ և ավտոմատացման բաժնի ղեկավարով:
2. Տեղեկատվության պաշտպանության տեխնիկական աջակցության կանոնակարգեր. Փաստաթղթերը գաղտնի են, մուտքը սահմանափակ է ավտոմատացման բաժնի աշխատակիցների և բարձրագույն ղեկավարության համար:
3. Բաշխված տեղեկատվական անվտանգության համակարգի կառավարման կանոնակարգ: Կանոնակարգերի հասանելիությունը սահմանափակվում է տեղեկատվական համակարգի կառավարման համար պատասխանատու ավտոմատացման բաժնի աշխատակիցների և բարձրագույն ղեկավարության համար:

Ընդ որում, այդ փաստաթղթերը չպետք է սահմանափակվեն, այլ պետք է մշակվեն ստորին մակարդակները։ Հակառակ դեպքում, եթե ձեռնարկությունը չունի տեղեկատվական անվտանգությանն առնչվող այլ փաստաթղթեր, ապա դա կնշանակի տեղեկատվական անվտանգության համար վարչական աջակցության անբավարար աստիճան, քանի որ չկան ավելի ցածր մակարդակի փաստաթղթեր, մասնավորապես, տեղեկատվական համակարգի առանձին տարրերի գործարկման հրահանգներ: .

Պարտադիր կազմակերպչական ընթացակարգերը ներառում են.

• Կադրերը տարբերելու հիմնական միջոցները՝ ըստ տեղեկատվական ռեսուրսների հասանելիության մակարդակի,
• ընկերության գրասենյակների ֆիզիկական պաշտպանություն ուղղակի ներթափանցումից և տվյալների ոչնչացման, կորստի կամ գաղտնալսման սպառնալիքներից,
• Սարքավորումների և ծրագրային ապահովման ենթակառուցվածքի գործունակության պահպանումը կազմակերպվում է ավտոմատացված պահուստավորման տեսքով, պահեստավորման կրիչների հեռակառավարման ստուգում, օգտագործողի և ծրագրային ապահովման աջակցություն տրամադրվում է ըստ պահանջի:

Սա պետք է ներառի նաև կանոնակարգված միջոցներ՝ արձագանքելու և վերացնելու տեղեկատվական անվտանգության խախտումների դեպքերը:

Գործնականում հաճախ է նկատվում, որ ձեռնարկությունները բավականաչափ ուշադրություն չեն դարձնում այս խնդրին։ Բոլոր գործողությունները այս ուղղությունըիրականացվում են բացառապես աշխատանքային կարգով, ինչը մեծացնում է խախտումների դեպքերի վերացման ժամանակը և չի երաշխավորում տեղեկատվական անվտանգության կրկնակի խախտումների կանխումը։ Բացի այդ, իսպառ բացակայում է վթարների, տեղեկատվության արտահոսքի, տվյալների կորստի և կրիտիկական իրավիճակների հետևանքների վերացմանն ուղղված գործողությունների պլանավորման պրակտիկան: Այս ամենը զգալիորեն վատթարացնում է ձեռնարկության տեղեկատվական անվտանգությունը։

Ծրագրային ապահովման և ապարատային մակարդակում պետք է ներդրվի տեղեկատվական անվտանգության եռաստիճան համակարգ։

Տեղեկատվական անվտանգության ապահովման նվազագույն չափանիշներ.

1. Մուտքի կառավարման մոդուլ.

• իրականացվել է փակ մուտքտեղեկատվական համակարգ, ստուգված աշխատատեղերից դուրս համակարգ մուտք գործելն անհնար է.
• Աշխատակիցների համար իրականացվում է շարժական անհատական ​​համակարգիչներից սահմանափակ գործառույթով մուտք.
• Թույլտվությունն իրականացվում է ադմինիստրատորների կողմից ստեղծված մուտքերի և գաղտնաբառերի միջոցով:

2. Կոդավորման և ամբողջականության վերահսկման մոդուլ.

• փոխանցված տվյալների համար օգտագործվում է կոդավորման ասիմետրիկ մեթոդ.
• կրիտիկական տվյալների զանգվածները պահվում են տվյալների բազաներում գաղտնագրված ձևով, ինչը թույլ չի տալիս մուտք գործել դրանց, նույնիսկ եթե ընկերության տեղեկատվական համակարգը կոտրված է.
• ամբողջականության վերահսկումն ապահովվում է պարզ թվային ստորագրությամբտեղեկատվական համակարգում պահվող, մշակված կամ փոխանցված բոլոր տեղեկատվական ռեսուրսները:

3. Պաշտպանման մոդուլ.

• ներդրվել է firewall-ներում զտիչների համակարգ, որը թույլ է տալիս վերահսկել բոլոր տեղեկատվական հոսքերը կապի ուղիներով.
• արտաքին կապերը գլոբալ տեղեկատվական ռեսուրսների և հանրային կապի ուղիների հետ կարող են իրականացվել միայն ստուգված աշխատակայանների սահմանափակ փաթեթի միջոցով, որոնք սահմանափակ կապ ունեն կորպորատիվ տեղեկատվական համակարգի հետ.
• աշխատողների աշխատավայրից անվտանգ մուտքն իրենց ծառայողական պարտականությունների կատարման համար իրականացվում է պրոքսի սերվերների երկաստիճան համակարգի միջոցով:

Ի վերջո, թունելային տեխնոլոգիաների դեպքում ձեռնարկությունը պետք է կիրառի VPN՝ տիպիկ դիզայնի մոդելի համաձայն՝ ապահովելու անվտանգ հաղորդակցման ուղիներ ընկերության տարբեր ստորաբաժանումների, գործընկերների և ընկերության հաճախորդների միջև:

Չնայած այն հանգամանքին, որ հաղորդակցությունն ուղղակիորեն իրականացվում է պոտենցիալ ունեցող ցանցերի միջոցով ցածր մակարդակվստահությունը, թունելային տեխնոլոգիաները կրիպտոգրաֆիկ գործիքների օգտագործման միջոցով կարող են ապահովել բոլոր փոխանցված տվյալների հուսալի պաշտպանությունը:

եզրակացություններ

Տեղեկատվական անվտանգության ոլորտում ձեռնարկվող բոլոր միջոցառումների հիմնական նպատակն է պաշտպանել ձեռնարկության շահերը՝ այս կամ այն ​​կերպ կապված նրա ունեցած տեղեկատվական ռեսուրսների հետ։ Թեև բիզնեսի շահերը չեն սահմանափակվում որոշակի տարածքով, դրանք բոլորն էլ կենտրոնացած են տեղեկատվության հասանելիության, ամբողջականության և գաղտնիության շուրջ:

Տեղեկատվական անվտանգության ապահովման խնդիրը բացատրվում է երկու հիմնական պատճառով.

1. Ձեռնարկության կողմից կուտակված տեղեկատվական ռեսուրսները արժեքավոր են:
2. Տեղեկատվական տեխնոլոգիաներից կրիտիկական կախվածությունը պայմանավորում է դրանց լայն կիրառումը:

Հաշվի առնելով տեղեկատվական անվտանգությանը սպառնացող վտանգների լայն տեսականի, ինչպիսին է ոչնչացումը կարեւոր տեղեկություններ, գաղտնի տվյալների չարտոնված օգտագործումը, ձեռնարկության աշխատանքի ընդհատումները տեղեկատվական համակարգի խախտումների պատճառով, կարելի է եզրակացնել, որ այս ամենը օբյեկտիվորեն հանգեցնում է մեծ նյութական կորուստների։

Տեղեկատվական անվտանգության ապահովման գործում էական դեր են խաղում համակարգչային սուբյեկտների վերահսկմանն ուղղված ծրագրային և ապարատային գործիքները, այսինքն. սարքավորումներ, ծրագրային տարրեր, տվյալներ՝ կազմելով տեղեկատվական անվտանգության վերջին և առաջնահերթ գիծը։ Տվյալների փոխանցումը նույնպես պետք է ապահով լինի դրա գաղտնիության, ամբողջականության և մատչելիության պահպանման համատեքստում: Ուստի ժամանակակից պայմաններում թունելային տեխնոլոգիաները կիրառվում են կրիպտոգրաֆիկ միջոցների հետ համատեղ՝ ապահով հաղորդակցման ուղիներ ապահովելու համար։

գրականություն

1. Գալատենկո Վ.Ա. Տեղեկատվական անվտանգության ստանդարտներ. - Մ.: Տեղեկատվական տեխնոլոգիաների ինտերնետ համալսարան, 2006 թ.
2. Partyka T.L., Popov I.I. Տեղեկատվական անվտանգություն. - M .: Ֆորում, 2012 թ.